【发布时间】:2015-04-21 00:28:57
【问题描述】:
我一直在互联网上搜索有关如何正确生成与任何用户无关但仅与应用程序安装相关的 api 密钥的信息,并且没有提出太多建议。所以要么我完全错误地思考这个问题,要么我没有正确地问这个问题。
这就是我想要做的事情,如果我想错了,请告诉我。
我正在制作一个带有 MySQL 后端的 PHP Rest API。我没有用户可说,但我想用 apikey 保护我的 rest api,这样我至少可以记录使用情况和其他指标。这个 api 将主要由 Android 应用程序使用,但我也希望任何客户端类型都能灵活使用。所以我正在考虑创建一个名为“generateToken”的端点,它将返回一个可用于调用服务的 apiKey。就应用程序而言,它们将在安装期间访问此 generateToken 端点,然后在应用程序的生命周期内将其保存在共享首选项存储或钥匙串中。这是本质上设置 apikey 来识别单个调用等的合适方法吗?我在想这个错误的方式吗?我是否应该建立某种用户存储,尽管除了保护 api 之外我对它没有任何实际用途。
【问题讨论】: