Yi2API-使用OAuth验证用户和网站?

我正在建立一个处理不同网站内容的服务。每个网站都有自己的用户。

因此,我需要对访问我的API的网站进行身份验证,并且需要对从该网站登录的用户进行身份验证。

因为yii2不能处理2个并行用户标识,所以在这个场景中,我不能使用角色。我决定用以下方式建造它:

处理网站

我有一个名为“网站”的表,网站包含两个字段访问令牌和过期令牌。

从任何网站(这是一个yii基本安装)上,他们都会:

        $data = array();
        $data['api_key'] = 'xxxxx';
        $data['api_secret'] = 'zzzzzz';

        $client = new Client(['baseUrl' => 'https://website.api/index.php?r=v1']);
        $response = $client->post('website/get-access-token', $data)->send();
        echo "<pre>";
        var_dump($response->content);
        echo "</pre>";

如果令牌过期,他们可以对入口点“网站/刷新访问令牌”执行另一个请求。

然后,每个请求获得或发布,他们必须发送这个访问令牌,它保存在会话中(令牌现在每7天过期一次)。

这不是通过任何HTTP验证来处理的,只是直接向API请求令牌。

处理用户

对于这部分,当用户使用电子邮件/密码或社交网络进行身份验证时,我向用户控制器发出请求,在该控制器中我设置了承载令牌:

public function behaviors()
    {
        $behaviors = parent::behaviors();
        $behaviors['authenticator'] = [
            'class' => CompositeAuth::className(),
            'authMethods' => [
                HttpBearerAuth::className()
            ]
        ];
        return $behaviors;
    }

这部分是一个正在进行的工作,所以假设网站会请求登录入口点:

$client = new Client(['baseUrl' => 'https://website.api/index.php?r=v1']);
        $response = $client->post('user/login', $data)->send();
        echo "<pre>";
        var_dump($response->content);
        echo "</pre>";

这是为了获取访问令牌并检查令牌到期日期。

我的问题是:

对于我的特定场景,处理API请求是一个好主意吗?我想有很多电话可以得到简单的数据。是否需要使用令牌获取数据?

如果我想使用承载令牌来处理内容和用户访问,我该怎么做?