ฉันกำลังสร้างชุด REST API ด้วย Spring MVC และความปลอดภัยสำหรับชุดแอป เรามีแอปมือถือ 2 แอปและเว็บแอป 1 แอป (เว็บแอปเป็นแอปหน้าเดียว HTML5 ดังนั้นจึงค่อนข้างสแตนด์อโลน)
คำถามของฉันคือ: รูปแบบการรับรองความถูกต้องใดดีที่สุดสำหรับปัญหาประเภทนี้
สิ่งที่ฉันคิดคือ:
- ใช้แบบฟอร์มเข้าสู่ระบบเพื่อเข้าสู่ระบบด้วย HTTP POST เพื่อเข้าสู่ระบบ URL
- ใช้บริการ RememberMe เพื่อรักษาเซสชันในช่วงเวลา (เดือนหรือปี) ซึ่งส่วนใหญ่ใช้สำหรับแอปบนอุปกรณ์เคลื่อนที่ ซึ่งคุณต้องการให้ผู้ใช้เข้าสู่ระบบเพียงครั้งเดียว
ฉันรู้สึกไม่สบายใจ 100% กับวิธีแก้ปัญหาข้างต้น เพราะ: การทำงานกับคุกกี้ใน REST API รู้สึกอึดอัดสำหรับฉัน
มีข้อเสนอแนะอะไรบ้าง?
ขอบคุณ!
อเล็กซ์