Cześć!
Tworzę właśnie proste API, a w mojej głowie siedzi ciągle jeden problem, na którego rozwiązanie odnalazłem dopiero półśrodki. Do rzeczy, od razu na przykładzie -
/api/add_something/user_id,name
JavaScript podstawia pod user_id, id użytkownika aktualnie zalogowanego. Chciałbym zweryfikować czy aby na pewno dany użytkownik jest zalogowany na to konto. W tym momencie istnieje bardzo prosty sposób na obejście - wpisanie z palca adres w przeglądarkę ze zmienionym ID.
Myślałem o weryfikacji przez sesję, albo jakieś tokeny. Ale tutaj pojawia się moja zagwozdka - jeśli sesja to tylko client webowy będzie z niej mógł korzystać, co z aplikacją mobilną? Jeśli token to na jakiej zasadzie miałby działać, jeśli nie na sesji?
Prosiłbym o jakieś naprowadzenie w jaki sposób mógłbym to najlepiej i najbezpieczniej zrealizować :)