При каждом вызове моего REST API мне нужно, чтобы клиенты передавали токен доступа к facebook, который аутентифицирует пользователя. Какая лучшая практика для передачи этого токена?
-
может быть как параметр за отметкой вопроса HTTP
GET /api/users/123/profile?access_token=pq8pgHWX95bLZCML
-
или как-то в заголовке запроса, аналогично базовой аутентификации HTTP
- может быть, третий вариант? (Я исключил передачу его в JSON, потому что я хочу, чтобы токен передавался также в вызовах
GET
, поэтому JSON не поместился бы там, я думаю)