Para autenticar a un usuario, puede tener sesiones simples.
Los JWT también son buenas opciones, pero están destinados a las API.
Si desea mantener su API privada, hay dos formas:
- ¿Por qué hay tan pocas aplicaciones web complejas y pesadas en datos?
- Somos una startup que desarrolla una aplicación web para la industria de la construcción. La aplicación que se aloja en la nube. ¿Crees que necesitamos un ingeniero de seguridad como función separada? ¿Por qué?
- Entre Django y Ruby on Rails, ¿cuál es mejor para aplicaciones web complejas?
- ¿Cuál es la diferencia entre una aplicación web, una aplicación móvil, una página web receptiva y una aplicación web receptiva?
- Cómo construir una aplicación web simple que calcule el precio del platino en diferentes monedas y muestre un gráfico de los precios iniciales
- Deje que sea privado y no hay un esquema de autenticación para acceder a la API que no sea la sesión del usuario. Como el usuario es autenticación y su sesión existe, se permite el acceso a la API.
- Cree cualquier esquema de autenticación y autorización sobre sus API como OAuth, JWT, API Keys, etc. y genere uno solo para su aplicación y no genere para otros.
Mientras crea API, recuerde verificar el estado de autenticación antes de realizar cualquier operación en todas y cada una de las llamadas API. Esto salvará su API del acceso no autorizado. Y si su API está a salvo del acceso no autorizado, es privada.
Otras API de diferentes proveedores como Facebook, Twitter, etc. también permiten usar API en sus términos y para eso le proporcionan las claves y tokens necesarios para hacerlo. Y lo validan en todas y cada una de las llamadas. Si no es válido, no podrá acceder a él. Sigue el mismo enfoque.
Ser privado tiene diferentes significados, como que no quieres que nadie se entere o no quieres que nadie acceda y lo use. El primer caso es muy difícil de lograr porque si los usuarios van a usar su aplicación, algunos intentarán saber sobre su funcionamiento interno. Para el segundo, he explicado anteriormente.