System logowania przez API i inne podobne.

Question

Witam, posiadam napisany backend PHP i stronę która w oparciu o server backend korzysta, jeśli dobrze rozumiem pojęcie API cała strona działa poprzez requesty AJAX i to co server zwróci, w tym logowanie, aplikacja jest typu SPA.

Bardzo ciekawi mnie jak poprawnie zrobić logowanie w serverze za pomocą czegoś co można nazwać api, o ten server opiera się w budowie gra na telefon, gra na steam i obecnie aktywna strona, więc założyłem że ciasteczka odpadają.

Chciałbym żeby ktoś mi wytłumaczył łapotologicznie w kilku zdania, może więcej - jak wyglądają sesje tworzone po stronie klienta i ogólnie jak sam stan że użytkownik jest zalogowany przetwarzać w aplikacji.

Moje rozwiązanie wygląda tak:

- Użytkownik wysyła za pomocą jakiejkolwiek aplikacji do servera dane logowania, jeśli są poprawne jest generowany klucz dla niego który jest zwracany, klucz zapisany jest w bazie wraz z IP oraz typem aplikacji z której go wygenerowano, wygasa po czasie lub jest niszczony w przypadku wylogowania, każde request do servera musi mieć dołączony ten klucz aby się wykonał poprawnie, próba wysłania klucza z innego ip niz go utworzono skutkuje jego zniszczeniem.

Answer 1

Ja preferuje rozwiązanie JSON Web Tokens, tylko implementacja tego musi zostać wykonana dobrze, ponieważ ktoś niepowołany może dobrać się do zasobów do których teoretycznie nie ma dostępu

Answer 2

Ogólnie to poczytałbym, jak robi to OAuth 2.0, bo to de facto standard w tym zakresie → https://aaronparecki.com/oauth-2-simplified/