Hej
Piszę aplikacje do obstawiania meczy, która składa się z backendu, który wystawia endpointy, front pisany w angularze oraz docelowo jeszcze aplikacja mobilna. Jako, że zakłady lepiej, żeby były podpisywane, potrzebuję jakiś mechanizm zabezpieczeń. I teraz pytanie co sprawdzi się najlepiej:
- apiToken generowany dla każdego użytkownika - dość słaba wygoda dla użytkowników (konieczność zapisania go)
-username i hasło - podpisywanie każdego requestu dodatkowo tymi dwoma polami (jako parametr url?) - połączenie obu - użytkownik po zarejestrowaniu otrzymuje api token którym będzie później podpisywał wszystkie zapytania (path variable, parametr url?). Wtedy np. aplikacje odpytują backend na podstawie loginu i hasła o api token i dalsza komunikacja wykorzystuje ten token.
Kwestia jest taka, że większość backendu mam już napisane więc to będzie "doczepienie" kolejnego modułu, a nie pisanie od nowa całości. Chwilowo aplikacja stoi na springu ale docelowo będzie całość na ratpacku. Które z tych rozwiązań jest najsensowniejsze?