У нас есть несколько клиентов, которые используют наш API для питания своих веб-сайтов.
Я начал разговор по поводу использования OAuth для создания аутентифицированных вызовов API. У нас будут два и три ножных потока.
Для потока с тремя ногами мы до сих пор не пришли к консенсусу относительно того, как хранить токен доступа и секрет.
Общий подход к этой проблеме заключается в том, чтобы клиенты хранили ток доступа и секрет в своей собственной БД, но это не может быть и речи, поскольку клиенты не хотят иметь дело с изменениями кода и проблемами реализации.
Другие варианты, которые мы рассматриваем:
1) Сохранение маркера доступа и секрет в файле cookie
2) Сохранение их в сеансе.
Я не уверен, является ли это хорошей идеей. У кого-нибудь есть предложения?
Спасибо.