[Moscow.pm] Аутентификация для REST API

[Ivan Petrov]

>> для API лучше всего подходит
>> 
>> 1. "забыть про авторизацию" (она же - авторизация по URL), то есть
>> в URL
>> включен скажем UUID/токен, который невозможно подобрать (но можно
>> поменять на выбранный пир)

> Да не особо большая разница слать куку в заголовках запроса или
> параметр к урлу добавлять

с куками помимо неудобства их отладки (мы же говорим об API) есть еще
необходимость стадии их выдачи. То есть API с куками еще должен иметь
метод который их выдает (условно говоря - login). Если же куки клиент
собирает самостоятельно, то по сравнению с токеном/подписью
использование кук не дает ничего, кроме геморроя.

>> 2. подписи (многие банки применяют)

> это ограничивает область действия апи, такой способ с клиентских
> устройств не получится использовать

можно использовать несимметричное шифрование для подписей.
но если речь идет именно о клиентском API (браузер - сервер?) то тогда
лучше просто совместить аутентификацию клиента с аутентификацией API.