Я делаю интенсивное использование асинхронных запросов JavaScript к веб-серверу. Так как я создаю многопользовательское приложение, я хочу ограничить доступ к json сервисам на уровне пользователя.
Я читал много о OAuth, рекомендуемом для потребительской аутентификации. В моем сценарии JavaScript (клиент) сторона рассматривалась бы как потребитель и, следовательно, Вы рекомендуете использовать OAuth с этой целью? В противном случае, какие альтернативы Вы рекомендовали бы?
OAuth лучше всего подходит для предоставления другого метода, кроме прямого обмена именем пользователя и паролем со сторонними приложениями или веб-сайтами. Я бы использовал OAuth или что-то в этом роде только в том случае, если вам нужно предоставить этот тип стороннего доступа к вашему веб-приложению.
Если JS-клиент будет запущен в веб-браузере, в котором пользователь уже вошел в вашу службу, вы можете с таким же успехом использовать файл cookie сеанса, который вы уже установили, для аутентификации каждого запроса.
Фактически, такой файл cookie сеанса будет автоматически передан вашему веб-сервису как часть любого XHR.