API請求假設我做一個API請求發送到以下網址:與身份驗證令牌
https://myapi.com/data
這是我建,並完全控制的API。
我想將此API的訪問權限限制爲僅允許我授權的應用程序。
我看到很多服務將爲您提供一個API密鑰,您可以將其添加到您的URL以供您訪問。
假設我有:
https://myapi.com/data?key=a6reallly7long2string9of0numbers2and4letters
然後在後臺我有類似:
class REST {
public $ACCESS_TOKEN = 'a6reallly7long2string9of0numbers2and4letters',
public function Auth($token){
if($token===$this->ACCESS_TOKEN) return true;
return false;
}
}
如果值匹配,我允許訪問。
但是,所有人需要做的就是查看應用程序在客戶端進行的請求,並且他們擁有令牌。
即使我對令牌進行加密或使用單向散列,它們仍然具有解密爲正確結果的值。
如何通過URL標記爲API提供良好的身份驗證?
謝謝,先生!是有道理的,我很欣賞這個徹底的回覆 – yevg
好吧 - 這是一個非常廣泛的話題,很難在手機上撰寫綜合文章。我只是試圖給你一些開始點.. – gusto2