Я был на переполнении стека в течение последнего часа, исследуя эту тему, поэтому я подумал, что просто задаю все свои конкретные вопросы. Я создаю веб-приложение, в настоящее время использующее Laravel (PHP) для API и Angular для фронта. Я посмотрел на oAuth, но это немного сложный atm, поэтому я надеялся реализовать более простое решение, а затем перестроить его, когда это необходимо.RESTful API Auth flow
Поток, который я сейчас реализую, выглядит следующим образом. Угловые сообщения учетных данных пользователя (выше https) для моего бэкэнд-покоя, и это просто возвращает сгенерированную строку (это, вероятно, будет случайным или критографическим). Затем эта строка сохраняется как файл cookie или любое другое состояние браузера, которое я нахожу подходящим, а затем прикрепляется к каждому запросу API вместе с идентификатором пользователя, который угловой делает в качестве дополнительного параметра или заголовка запроса или чего-то еще. API использует это, чтобы проверить, имеет ли пользователь доступ к запрашиваемому ресурсу и соответственно отвечает. Вероятно, я также добавлю время истечения срока действия строки, которая будет сбрасываться после каждого запроса.
Вопрос в том, действительно ли это приемлемый поток? Что касается безопасности, с какими проблемами я, скорее всего, столкнусь с этим? CSRF? Фиксация сеанса?
Я знаю, что это вопрос, который задавали пару раз раньше, но я просто надеялся на новую дискуссию и указал на соответствующую информацию.