我正在创建一个返回 JSON 的简单 Web API。
它将执行简单的增删改查操作。
对用户进行身份验证的最佳方式是什么,OAuth 似乎是这里的主要建议,但我正在寻找可以简单地自己实现的东西,基于令牌或 API 密钥?
任何想法建议提示都很棒。
更新:忘了提一下,这个 API 不会供一般消费,它仅供我自己使用,但我想确保有人在偶然发现它时不能太容易进入。
首先,为了构建一个好的 API,你应该使用其他人的 API 来看看它们是如何工作的。为了实现 RESTful,需要使用 API 密钥,它只是一个非常大的随机数或“加密随机数”。但实际上这就像不朽的会话 ID 来查找用户身份验证信息一样,这并不是那么好。 OAuth 很棒,如果你想要自己的系统 kerberos 是非常安全的。
有可能劫持 json 响应,这是针对 json 的一个陷阱。如果每个请求都需要 API 密钥,那么攻击者就无法使用此方法。