Utilizzo di Drupal 7 Multisite Framework per una strategia API e Auth Resful

Question

La mia situazione

Ho una piccola app con un'interfaccia pubblica. Sono interessato a creare un'API per questo da utilizzare in un ambiente mobile e anche alla fine come API pubblica. Voglio mantenerlo semplice con la priorità su aspetti come la sicurezza e le prestazioni.

Il mio piano

Perché Drupal? Bene, so Drupal e posso immaginare una configurazione in cui ho 2 siti. www.mygui.com (impostazione predefinita) e api.mygui.com (API). Tutta la struttura del database è determinata dal lavoro svolto in predefinito luogo. Usando il Modulo dei servizi Drupal (e solo pochi altri moduli core necessari) sul API Sito Ho intenzione di consentire aggiornamenti autenticati al database tramite JSON e drupal_internal_api.

Il mio problema

Ho già un prototipo (non in Drupal) che utilizza token. Sono nuovo nei servizi e non conosco davvero tutti i suoi limiti e capacità. Questo sembra promettente ma ancora in cantiere: Drupal Services Auth Token Module. Vorrei consigli o risorse riguardo a una buona strategia di autenticazione. Ad esempio, qual è il migliore? Mantieni la base di utente lo stesso con ruoli "API UER" assegnati o avere una base di utente completamente separata specifica per il API luogo? Tenendo presente che un nome utente API è una configurazione a lungo termine in cui il nome utente/password o token non dovrebbe cambiare fino a quando l'utente API non è pronto con una nuova versione dell'app? Posso avere una bella GUI per gli utenti per gestire il proprio API credenziali del sito sul file predefinito luogo?