Saya telah berupaya menerapkan OAuth di API proyek saya. Sebagai bagian dari proyek ini, kami memiliki aplikasi seluler yang mengautentikasi pengguna melalui API ini, menggunakan pemberian kata sandi (hibah ini sebenarnya mengirimkan kredensial yang diberikan ke server autentikasi upstream yang tidak mengimplementasikan OAuth - sehingga diperlukan) .
Aplikasi seluler ini juga memiliki fungsi untuk membuka tampilan web ke beberapa situs web yang telah ditentukan sebelumnya. Idenya adalah bahwa situs web ini dapat memberikan otorisasi atas nama pengguna menggunakan pemberian kode_otorisasi.
Di sinilah pertanyaan saya muncul. Saat mengotorisasi situs web, kami jelas mengharuskan pengguna diautentikasi dengan API kami. Namun, pengguna mengautentikasi melalui pemberian kata sandi di aplikasi, dan bukan di tampilan web.
Bagaimana kita mentransfer otentikasi dari aplikasi ke API ketika otentikasi dilakukan di aplikasi? Menurut saya, menyetel cookie yang berisi token pada domain API akan menjadi cara terbaik untuk mengimplementasikannya?
Mohon maaf jika pertanyaannya tidak sejelas mungkin. Saya kesulitan menemukan cara terbaik untuk mengungkapkan dan menjelaskan pertanyaan saya.
