платформа по типу приложений вк/фейсбук. есть сервис, в нем аккаунты и всякие сущности с ними. пользователь может подключить сторонние интеграции которые по апи могут агрегировать как то у себя данные или изменять даже их.

он нажимает кнопку "Подключить" на сайте сторонней интеграции, его перекидывает на наш сайт, там спрашивает "Приложение foo хочет доступ к X , Y, Z. Согласны, узнали?". Юзер подтверждает, интеграции выдается токен для авторизации. в личном кабинете нужно видеть список подключенных интеграций

У вас к api как доступ реализуется? через jwt или через сессии?)

через сессии)

Ну и вы этот сессиионный токен с куками гоняете, так?

да, поскольку основные клиенты - это браузерные фронты

В каком виде апи сторонние сервисы должны получить, тоже rest api с куками?

ну вот думаю что лучше без куков обойтись. просто в Bearer <token>

Мне нравится с этой херней баловаться))

Оффтоп. А вот раст нормально будет поизучать не зная си/с++ ? Хватит ли их доки, книжек, чтоб въехать во всё что там происходит?

Оффтоп. А вот раст нормально будет поизучать не зная си/с++ ? Хватит ли их доки, книжек, чтоб въехать во всё что там происходит?

ся и плюсцы языки совершенно разные

а я думал только названиями отличаются)