oauth – 构建RESTFul API,如何进行身份验证

我正在构建一个RESTFul API并想知道什么是最好的auth方法?用户需要进行身份验证.我知道三种方式:

1.)在每个RESTFul请求中传递API密钥:

http://api.mydomain.com/api-key-here/get-users

这很好,因为开发人员可以通过简单地将URL字符串复制到浏览器中来立即开始使用API​​.是否存在任何潜在的安全风险?

2.)每个请求都在请求的标头中传递API密钥.

这似乎更安全,但开发人员无法通过浏览器发出请求. CURL是必需的.

3.)oAuth

我必须承认我不太了解它,但似乎很受欢迎.我担心的是开发人员开始使用API​​的障碍.他们首先必须熟悉oAuth,然后进行设置.

思考?非常感谢.

最佳答案 如果您的担忧给开发人员带来高昂的入门成本负担,我建议使用基本身份验证,但通过https运行您的API.

我用Diligent Street这样做,效果很好.我使用API​​密钥并将其与Secret一起作为基本身份验证的用户名/密码组合.

点赞