Я новичок в OAuth и других механизмах аутентификации, и некоторые концепции немного слабы (я пришел из мира мобильных устройств, а не из мира Интернета). Извините за фиктивные вопросы.
Я хочу создать мобильное приложение и серверную часть, которая будет предоставлять REST API мобильному приложению. Чтобы авторизовать приложение для доступа к REST API от имени пользователя, я буду использовать поток OAuth, поэтому в конце мое приложение будет использовать токен доступа для доступа к ресурсам BE.
Из моего POV этого достаточно для всех моих целей:
- Мобильное приложение вызывает конечную точку
https://example.com/user
- BE получает запрос с маркером доступа.
- BE вызывает конечную точку самоанализа OAuth, чтобы узнать, какому пользователю принадлежит токен доступа.
- Конечная точка BE возвращает пользовательские данные в мобильное приложение.
Для меня это выглядит нормально, но я вижу, что некоторые люди объединяют этот механизм с файлом cookie, чтобы дополнительно идентифицировать пользователя с помощью сеанса.
Нужна ли мне сессия для моего варианта использования? Какие у него есть преимущества?
Из моих сеансов POV может быть полезно только при наличии приложения на основе браузера. Используют ли браузерные приложения токен доступа и сеанс одновременно? Или сеанс сопоставлен с токеном доступа на стороне сервера?
Спасибо!