>> для API лучше всего подходит >> >> 1. "забыть про авторизацию" (она же - авторизация по URL), то есть >> в URL >> включен скажем UUID/токен, который невозможно подобрать (но можно >> поменять на выбранный пир)
> Да не особо большая разница слать куку в заголовках запроса или > параметр к урлу добавлять с куками помимо неудобства их отладки (мы же говорим об API) есть еще необходимость стадии их выдачи. То есть API с куками еще должен иметь метод который их выдает (условно говоря - login). Если же куки клиент собирает самостоятельно, то по сравнению с токеном/подписью использование кук не дает ничего, кроме геморроя. >> 2. подписи (многие банки применяют) > это ограничивает область действия апи, такой способ с клиентских > устройств не получится использовать можно использовать несимметричное шифрование для подписей. но если речь идет именно о клиентском API (браузер - сервер?) то тогда лучше просто совместить аутентификацию клиента с аутентификацией API. -- Moscow.pm mailing list [email protected] | http://moscow.pm.org
