爲API創建身份驗證框架

Question

我正在研究創建一個公共API，以便我們可以開放一些功能給我們的客戶開發。我確信有一些很好的框架，但我不確定從哪裏開始尋找。

這個框架需要實現2件事情。

1. 能夠根據API批准/拒絕開發人員。這是通過API代碼或密鑰在其他一些Web應用程序中實現的。如果他們開發的應用程序違反了我們的T & C.我們希望跟蹤這些並能夠禁用它們，並在適當的時候重新啓用它們。

2. 能夠以安全的方式驗證用戶，而API的使用者無法收集用戶名和密碼。我認爲這是通過使用像oAuth這樣的技術來實現的，但是我一直無法找到任何場景來幫助我理解oAuth。

什麼庫/框架可用來實現這些事情。 （開源或付費）

Answer 1

一個簡單的解決方案是簽署請求。例如，我使用一個支付網關，強制我添加一些數據串聯的sha1哈希值，這是我在管理員中定義的一個密鑰。

這使得theys API非常安全，我不必使用複雜的API和大量的代碼。我非常喜歡它:)