API 身份验证方法

【问题标题】:Api Authentication MethodsAPI 身份验证方法
【发布时间】:2022-01-03 10:16:42
【问题描述】:

我创建了一个小型愿望清单项目。

我不想为拥有 API 密钥的用户提供 API。

我的网络服务器在 TLS (HTTPS) 上运行。用户可以像这样在 http 标头中以明文形式发送 api 密钥吗?

curl -H "Authorization: api_key MY_APP_API_KEY" https://myapp.example.com

否则,我应该使用什么?

我不想使用 OAuth2,这对于我的小项目来说太复杂了。

【问题讨论】:

    标签: api security authentication https api-key


    【解决方案1】:

    是的,它非常安全。HTTPS 会加密所有消息内容,包括 HTTP 标头和请求/响应数据。

    【讨论】:

      【解决方案2】:

      这是网络产品吗?

      如果是这样,请记住您的 MY_APP_API_KEY 将在浏览器中完全可用。

      如果它是一个 Web 产品,也许考虑一个简单的替代方案,比如 https://pay2my.app 用于登录(我参与了那个 OSS 项目)?用户登录浏览器端并向服务器发送他们自己的令牌 + 签名:服务器只是验证这一点。

      否则你已经可以按照第一个答案进行操作了?。

      【讨论】:

      • 这是我学习中的一个评估项目。我们制作了一个愿望清单,因此没有敏感数据,但我们仍在评估我们的应用程序(网络服务器)的安全性
      猜你喜欢
      • 2015-08-18
      • 2015-11-03
      • 2010-10-24
      • 2016-01-29
      • 2016-04-12
      • 2015-04-23
      • 2017-07-19
      • 2017-03-05
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode