Я создаю RESTful API для проекта, над которым я работаю, и я бы хотел, чтобы основное приложение использовало API, потому что:
API будет размещен на субдомене https://api.example.com
, а основное веб-приложение будет размещено в корневом домене https://example.com
.
Концептуально я понимаю, как все работает, но мой главный вопрос - как изменится поток аутентификации, если вообще изменится. Обычно сторонние приложения:
https://api.example.com/request_token
https://api.authenticate.com/ authorize
https://api.example.com/access_token
Поскольку я контролирую оба домена, могу ли я сделать что-то подобное:
https://www.example.com
https://www.example.com
, который вызывает тот же код, что и https: //api.example.com / authorize
Шаг 3 выглядит так, как будто неправильно, так как будет дублированный код, но разве это не откроет меня для XSS-атак? Это форма входа на https://www.example.com
отправила данные на https: // api.example.com
, поскольку они являются технически разными доменами?
Я слишком усложняю это?