【发布时间】:2013-03-20 15:37:43
【问题描述】:
为我们的整个 Web 应用程序开发 API 服务层。 一个建议是为每个请求传递一个 API 密钥(类似于 Google),另一个建议是进行基于消息的身份验证
http://en.wikipedia.org/wiki/Hash-based_message_authentication_code
对于选择要采用的方法,每个人的建议是什么?
【问题讨论】:
标签: api authentication api-key
【发布时间】:2013-03-20 15:37:43
【问题描述】:
我认为问题应该是
我需要验证消息的完整性吗?
如果您关心的只是限制对上述资源的访问,那么除了 API 密钥之外的任何东西都将是多余的; API 密钥是轻量级的,易于实现和使用身份验证标准(BASIC 等)。 收到消息后,您可以对数据执行简单的完整性检查。
如果您需要验证用户和消息的真实性,那么基于消息的身份验证是可行的方法
【讨论】: