REST API身份驗證令牌

Question

我從頭開始構建我的第一個REST API，並試圖理解處理API令牌的最佳方式。我不是在談論「用戶身份驗證」（我會爲此使用OAuth）。我說的是，一個應用程序使用，以確定自己讓自己的API可以決定申請者是否被允許使用API​​中的首位公共/私有標記。

一些API資源將提供給具有有效令牌（S）的人，以及一些需要OAuth認證。我將通過HTTPS與API進行通信，但我仍然想確保我遵循某種標準來傳遞令牌。

Answer 1

你實際上正在談論用戶認證，不管你信不信。

我談論的是一個應用程序使用，以 識別自己，這樣我的API可以決定 應用程序是否被允許使用API​​放在首位公共/私有標記。

這就是用戶認證 - 只是「用戶」是調用API的應用程序。

如果OAuth是不夠的，你需要的一切（和可能，你應該檢查！），你不應該開始添加另一種自定義身份驗證方法HTTPS。取而代之的是，站在巨人的肩膀上，並使用Basic Authentication，因爲這就是它是爲。你的工具，系統管理員和API客戶端會感謝你。