Tengo un back-end (API) y un front-end, por ejemplo, un servidor web, y tengo usuarios y proveedores de ID.
El servidor web es proporcionado por una tercera parte y puede ser una aplicación móvil, pero en cualquier caso, el usuario lo usa para acceder a sus datos.
En general, los usuarios necesitarán la Aplicación (Web of Mobile) para poder hacer todo por ellos porque la API solo proporciona respuestas de bajo nivel en formato JSON. Entonces, cuando un usuario solicita que se autorice un front-end, eso le da acceso completo a lo que el usuario pueda hacer.
Los usuarios se registran y autentican a través de sus cuentas de Google / FB / Twitter, etc. para que la API no tenga que preocuparse por las contraseñas y facilitar el registro.
Cuando el usuario ve un recurso, por ejemplo, sus mensajes o el historial o perfil de la cuenta en el back-end, lo hacen a través de un front-end.
El front-end luego pasa la solicitud del recurso a la API (que se implementa de manera REST-ish). Mi entendimiento es que para que esto funcione, oAuth se usará para Autorizar el sitio web para solicitar la información privada del usuario.
Por favor, corrija mi entendimiento: Después del registro, el usuario inicia sesión en el front-end. El Front-end luego recupera información para el usuario del back-end a través de "oAuth Autorizado solicitudes HTTP", (oAuth 2.0 para ser específico)
¿El Back-end ve que la solicitud está autorizada pero no sabe quién se conectó (presumiblemente todavía) durante este proceso? Entonces, ¿cómo sabe el back-end a qué buzón o perfil o historial de transacciones debe servir?
La API codificará el buzón especificado o el historial de transacciones en el URI, pero realmente la pregunta es ¿cómo sabe el servidor que el front-end está solicitando el buzón correcto para el usuario con sesión iniciada actualmente?