Estou desenvolvendo uma api em rest com serviço de autorização em oauth2,partir do principio API First, pra quem não sabe é um conceito na qual se planeja todo sistema já em api em vez de criar um site com sessões e depois implementar um serviço de autorização; voltando ao meu projeto, necessito que usuários criem novos registros, pensei na seguinte lógica.
1 - Usar o grant_type client_credentials que autentica apenas o serviço. 2 - Ao obter o token passar pela url junto com os campos username e password. 3 - Após registrar revogar o token.
Essa implementação evita bot? Ao meu ver sim já que nenhum robô vai conseguir ler o client_id e o client_secret armazenadas em um script php.
Sobre a versão mobile.
implementar com o webview com uma aparência bem nativa já que não poderei expor meu client_secret.
Vocês concordam com essa implementação?