Witam,
Napisałem sobie proste REST API. Na razie był oparty na kluczach dostępu. API głównie zwraca informacje o produktach i o kategoriach. Nic wiecej. Jednak teraz chce dodać system logowania i wylogowywania. Czyli piszę już aplikacje, która będzie oparta na tym API. Tutaj mam kila nieścisłości jeżeli chodzi o bezpieczeństwo. Rozumiem, że w czasie logowania wysyłam email i haslo do API i zwracam token jeżeli user znajduje się w bazie danych. Jak przechowywać takie token? W cookies
? Oauth też przydziela tokeny na bardzo krótki okres czasu, więc domyślam się, że jakiś będzie potrzebny request do odświeżania tokena. Ale kiedy go odświeżyć? JS ma sam wysyłać co np 10min request refresh_token
? I wylogowywanie, ale to chyba już jedno z łatwiejszych. Po prostu usuwam token i tyle.