Api 身份验证方法
Api Authentication Methods
我创建了一个小愿望清单项目。
我不想为拥有 API 密钥的用户提供 API。
我的网络服务器 运行 在 TLS (HTTPS) 上。用户在 http headers 中以明文形式发送 api 密钥是安全的吗?
curl -H "Authorization: api_key MY_APP_API_KEY" https://myapp.example.com
否则我该用什么?
我不想使用 OAuth2,它对我的小项目来说太复杂了。
是的,它非常安全。HTTPS 加密所有消息内容,包括 HTTP headers 和 request/response 数据。
这是网络产品吗?
如果是这样,请记住您的 MY_APP_API_KEY 将在浏览器中完全可用。
如果它是一个 Web 产品,也许可以考虑一个简单的替代方案,例如 https://pay2my.app 用于登录(我参与了那个 OSS 项目)?用户登录浏览器端并将自己的令牌+签名发送到服务器:服务器只是验证它。
否则你已经按照第一个答案开始了。
我创建了一个小愿望清单项目。
我不想为拥有 API 密钥的用户提供 API。
我的网络服务器 运行 在 TLS (HTTPS) 上。用户在 http headers 中以明文形式发送 api 密钥是安全的吗?
curl -H "Authorization: api_key MY_APP_API_KEY" https://myapp.example.com
否则我该用什么?
我不想使用 OAuth2,它对我的小项目来说太复杂了。
是的,它非常安全。HTTPS 加密所有消息内容,包括 HTTP headers 和 request/response 数据。
这是网络产品吗?
如果是这样,请记住您的 MY_APP_API_KEY 将在浏览器中完全可用。
如果它是一个 Web 产品,也许可以考虑一个简单的替代方案,例如 https://pay2my.app 用于登录(我参与了那个 OSS 项目)?用户登录浏览器端并将自己的令牌+签名发送到服务器:服务器只是验证它。
否则你已经按照第一个答案开始了。