Так, с Auth0 разобрался. Но есть ещё один вопрос. Яя значит создаю клиента в Auth0 (для своего сайта), и создаю ещё одного клиента, с урезанными правами, для тех, кто будет пользоваться моим API. Потом в БД буду генерировать API Key. И будут посылаться запросы к этим ключом от клиентов, и сервер будет запрашивать access токен у Auth0, используя для этого только один клиент, который с ограниченным правами. Правильно ли я мыслю? В двух словах. Нужно с помощью Auth0 сделать архитектуру: Мой клиент (сайт) с Макс правами, и клиент для остальных, внешних запросов к API, с ограниченными правами.
|