为API创建身份验证框架

Question

我正在研究创建一个公共API，以便我们可以开放一些功能给我们的客户开发。我确信有一些很好的框架，但我不确定从哪里开始寻找。

这个框架需要实现2件事情。

1. 能够根据API批准/拒绝开发人员。这是通过API代码或密钥在其他一些Web应用程序中实现的。如果他们开发的应用程序违反了我们的T & C.我们希望跟踪这些并能够禁用它们，并在适当的时候重新启用它们。

2. 能够以安全的方式验证用户，而API的使用者无法收集用户名和密码。我认为这是通过使用像oAuth这样的技术来实现的，但是我一直无法找到任何场景来帮助我理解oAuth。

什么库/框架可用来实现这些事情。 （开源或付费）

Answer 1

一个简单的解决方案是签署请求。例如，我使用一个支付网关，强制我添加一些数据串联的sha1哈希值，这是我在管理员中定义的一个密钥。

这使得theys API非常安全，我不必使用复杂的API和大量的代码。我非常喜欢它:)