我想让我的脑海里围绕如何在我创建的网站API中实现安全。让我解释我的应用程序的设计。使用我的网站API的用户身份验证
我在写一个在线发票应用程序,允许用户创建,存储和发送发票。该应用程序分为2部分,用户输入并查看发票等的前端以及处理站点所有处理(保存,更新数据等)的后端...
我坚持的是如何为我的网站实施某种安全措施,以便用户输入用户名和密码,然后在后端进行身份验证,并且后端将知道哪个用户正在与之通话(希望这是有道理的)
前端通过RESTful API与后端通信,但当前端向API发送请求时,后端如何知道用户是谁以及是否允许用户访问API。
我的前端是使用Backbone.js编写的,并使用JSON与后端API进行通信。后端写在CakePHP的
有几个API的身份验证模式在那里,你可以阅读更多关于它在这里https://support.3scale.net/howtos/api-configuration/authentication-patterns,特别是部分“标准认证模式”
你基本上将不得不给用户一个秘密令牌,然后在API调用请求将该令牌发送到后端,这样你可以关联两端的用户
如果你像我一样,并且想保存你自己的所有实现麻烦你可以使用3scale免费账户(http://www.3scale.net)为您管理身份验证,这样您甚至可以访问控制,限制API调用等等。在这里找到更多的细节:http://www.3scale.net/2012/06/the-10-minute-api-up-running-3scale-grape-heroku-api-10-minutes/
的例子使用了红宝石插件,但一个PHP一个可也GH github.com/3scale/3scale_ws_api_for_php