Немного психанул, и выдал на проекте документацию того, как я хочу видеть нормальную авторизацию пользователей в случае микросервисов и «богатого» фронтенда на React или Angular. Излагаю и здесь.

Для начала нужно разделить понятия аутентификации и авторизации.

Аутентификация — это доказательство того, что пользователь является именно тем, за кого себя выдаёт. В …

    Читать...    

А как вы ограничиваете доступ к вашему API?

Понятно, что в нашей аутсорсной разработке, когда это приватное API какого-то сервиса внутри конторы заказчика, можно понаставить огненных заборов, и вообще сделать API доступным только из приватной сети.

А если это публичное, да и к тому же многопользовательское API? Как вы аутентифицируете …

    Читать...