Cześć,
Mam zagwozdkę jak w tytule tematu. Powiedzmy, że mam aplikację, do której się potrafi zalogować user, który oczywiście ma konto w serwisie. Aplikacja, do której się loguje (tutaj używam, o ile to ma znaczenie mechanizmów jwt) służy do zarządzania w dużym skrócie spersonalizowaną konfiguracją. Ten sam użytkownik dostaje dostęp do api, aby podłączyć się do serwisu używając swojej aplikacji. Teraz zastanawiam się jak powinienem zabezpieczyć takie api. Co ważne user może trzymać w aplikacji np. maila klientów.
Poszperałem trochę jak robią to inne serwisy i znalazłem dość proste rozwiązanie:
- User w konfigruacji generuje sobie api-key i token
- Używając api-key i tokena wysyła requesty (po https tylko i wyłącznie)
- Po mojej stronie jest zaimplementowane basic auth
Zastanawiam się, czy takie zabezpieczenie wystarczy, czy trzeba implementować bardziej skomplikowane mechanizmy?