我正在构建一个RESTFul API并想知道什么是最好的auth方法?用户需要进行身份验证.我知道三种方式:
1.)在每个RESTFul请求中传递API密钥:
http://api.mydomain.com/api-key-here/get-users
这很好,因为开发人员可以通过简单地将URL字符串复制到浏览器中来立即开始使用API.是否存在任何潜在的安全风险?
2.)每个请求都在请求的标头中传递API密钥.
这似乎更安全,但开发人员无法通过浏览器发出请求. CURL是必需的.
3.)oAuth
我必须承认我不太了解它,但似乎很受欢迎.我担心的是开发人员开始使用API的障碍.他们首先必须熟悉oAuth,然后进行设置.
思考?非常感谢.
最佳答案 如果您的担忧给开发人员带来高昂的入门成本负担,我建议使用基本身份验证,但通过https运行您的API.
我用Diligent Street这样做,效果很好.我使用API密钥并将其与Secret一起作为基本身份验证的用户名/密码组合.