API请求假设我做一个API请求发送到以下网址:与身份验证令牌
https://myapi.com/data
这是我建,并完全控制的API。
我想将此API的访问权限限制为仅允许我授权的应用程序。
我看到很多服务将为您提供一个API密钥,您可以将其添加到您的URL以供您访问。
假设我有:
https://myapi.com/data?key=a6reallly7long2string9of0numbers2and4letters
然后在后台我有类似:
class REST {
public $ACCESS_TOKEN = 'a6reallly7long2string9of0numbers2and4letters',
public function Auth($token){
if($token===$this->ACCESS_TOKEN) return true;
return false;
}
}
如果值匹配,我允许访问。
但是,所有人需要做的就是查看应用程序在客户端进行的请求,并且他们拥有令牌。
即使我对令牌进行加密或使用单向散列,它们仍然具有解密为正确结果的值。
如何通过URL标记为API提供良好的身份验证?
谢谢,先生!是有道理的,我很欣赏这个彻底的回复 – yevg
好吧 - 这是一个非常广泛的话题,很难在手机上撰写综合文章。我只是试图给你一些开始点.. – gusto2