あなたが世界のサンセリフ認証にそれを公開することなく、アプリケーションへのAPIを利用できるように行うことができる唯一の方法は、あなたのウェブサイトと同じLAN上とファイアウォールの背後に、内部すなわちそれを維持することです。とにかく、公開されているかのように公開されていない場合、認証が必要かどうかにかかわらず、常に違反の可能性があります。
しかし、このアプローチの欠点は、AJAXのようなものやモバイルアプリケーションのような外部通信には利用できないことです。その結果、モバイルアプリでアクセスできる必要がある場合は、この方法で実装することはできません。つまり、は、に保護層を実装する必要があります。他の選択肢はありません。
また、ハイブリッドアプローチの一種を行うこともできます。公開されるべきではない特定のAPIエンドポイントがある場合、APIアプリケーションを外部と内部の部分に分割し、内部のものを内部に保ち、モバイルアプリの機能に絶対必要なAPIのみを公開することができます。しかし、公開されているものについては、認証レイヤーを実装する必要があります。そうしないと、認証レイヤーが広く開かれます。
つまり、認証はエンドユーザー認証である必要はありません。モバイルアプリケーションをクライアントとして認可するだけで済みます。通常、クライアントの秘密の認証でアプリケーションを実行します。アプリケーションにはクライアントIDと秘密が与えられます。クライアントはそれを認証エンドポイントに送信し、トークンを戻します。そのトークンは、それを必要とする要求に対してAuthorization
ヘッダーに渡されます。エンドユーザーにはシームレスなままで、実際に物理的にログインする必要はありません。