请有人解释一下如何使用 api 密钥以及它有什么用处。
我对此进行了很多搜索,但得到了不同且相互矛盾的答案。有人说 API 密钥是保密的,它永远不会作为通信的一部分发送,而其他人则在没有任何加密的情况下将其发送给客户端。客户的签名是什么?他如何生成它以及服务器可以用它做什么?为什么要使用 api 密钥而不是使用旧的用户名-密码对呢?谁能详细解释一下客户端(Android 设备)和服务器(php api)之间的通信情况。
如果有任何好的教程、代码示例和对初学者的解释,我将不胜感激。
【问题讨论】:
标签: api authentication
API 认证是一个复杂的话题。下面我将尽力解释问题的一部分:为什么 API 密钥比用户名/密码更好?
我们开始吧。
在构建(或使用 API)时,开发人员提出的一个常见问题是“为什么此服务需要 API 密钥而不是我的用户名和密码?”这是一个很好的问题!
首先,让我们谈谈 API 密钥通常是什么。
API 密钥通常是随机生成的字母和数字字符串。此外,API 密钥通常分为两部分:ID 和秘密。例如,如果您使用像 Stormpath 这样的网络服务,您可能有两个如下所示的 API 密钥:
您可以将 API 密钥 ID 视为用户名。这是一个全局唯一标识符,允许 API 服务找到您的帐户。
您可以将 API 密钥视为密码。这是一个密码,当与正确的 API 密钥 ID 匹配时,将授予您访问相关 API 服务的权限。
您不想使用用户名和密码对 API 进行身份验证的主要原因是:
即使 API 通过 SSL 提供服务,也有许多可利用的漏洞可能会破坏您的凭据。如果您使用您的用户名/密码登录 API 服务,并且攻击者获取了这些凭据,他们就可以访问您的整个帐户。
如果您使用您的用户名/密码对 API 进行身份验证,如果您的服务器/API 客户端之一遭到入侵,会发生什么情况?这意味着您需要重置您的用户名/密码并为所有使用它的客户端更新它。这可能既耗时又昂贵。
通过使用用户名/密码,您通常会限制自己使用某种类型的 API。通过拥有 API 密钥对,您可以将 API 凭证分离到不同的访问级别(可能密钥对只能访问某些数据,而另一个可以访问其他类型的数据)。
API 密钥对通常是一个更好的主意。除了明显的安全优势之外,它们还有其他用途:
如果 API 密钥对泄露,您通常可以创建/循环 API 密钥对,而无需更新您拥有的每个客户端。
您可以使用 API 密钥对为您的 API 提供子账户功能。
希望有帮助!
【讨论】:
【讨论】: