Ключи API против HTTP-аутентификации против OAuth в RESTful API
Я работаю над созданием RESTful API для одного из приложений, которые я поддерживаю. В настоящее время мы планируем создавать в нем различные вещи, которые требуют более контролируемого доступа и безопасности. Изучая способы обеспечения API, я нашел несколько разных мнений о том, какую форму использовать. Я видел, как некоторые ресурсы говорят, что HTTP-Auth - это путь, в то время как другие предпочитают ключи API, и даже другие (включая вопросы, которые я нашел здесь на SO) клянутся OAuth.
Тогда, конечно, те, которые предпочитают, скажем, ключи API, говорят, что OAuth предназначен для приложений, получающих доступ от имени пользователя (как я понимаю, например, для входа на сайт, не принадлежащий Facebook, используя ваш Facebook), а не для пользователя, напрямую обращающегося к ресурсам на сайте, на котором они специально подписались (например, официальный клиент Twitter, обращающийся к серверам Twitter). Однако рекомендации для OAuth, по-видимому, даже для самых основных потребностей в проверке подлинности.
Итак, мой вопрос заключается в том, что - если все это сделать через HTTPS, каковы некоторые из практических различий между этими тремя? Когда следует относиться к другим?
-
0с чем вы в итоге поехали?Irwin
-
0@ Ирвин - я задал этот вопрос довольно давно и с тех пор перешел от проекта, требующего его, но в итоге я использовал комбинацию ключей API и сгенерированного пароля (который пользователи никогда не видят), которые отправляются с использованием HTTP-аутентификации.Shauna
1 ответ
Это зависит от ваших потребностей. Вам нужно:
- Identity - кто утверждает, что делает запрос API?
- Аутентификация - действительно ли они говорят, что они?
- Авторизация - разрешено ли им делать то, что они пытаются сделать?
или все три?
Если вам просто нужно идентифицировать вызывающего абонента для отслеживания объема или количества вызовов API, используйте простой ключ API. Имейте в виду, что если пользователь, которому вы выдали ключ API, делится им с кем-то другим, он также сможет вызвать ваш API.
Но если вам нужна авторизация, то вам нужно предоставить доступ только определенным ресурсам на основе вызывающего API, а затем использовать oAuth.
Вот хорошее описание: http://www.srimax.com/index.php/do-you-need-api-keys-api-identity-vs-authorization/
-
0Я уже придумал решение этого вопроса, но в этом случае мне понадобились все три.
-
0Эта ссылка была действительно полезной. ура!
Ещё вопросы
- 0Ошибка при создании нового пользователя с PHP SDK
- 0Как реализовать манипуляции с изображениями в Jquery или ASP.Net?
- 1Кнопка «Создать новый проект» отображает экран создания не-Android проектов
- 0Выравнивание текста по вертикали внутри ссылки внутри <li>, который должен расширяться по горизонтали
- 1Получение файлов из программных файлов
- 1Как передать URL содержит? , /, & внутри колбы веб-сервис метод
- 1Как отсортировать определенные элементы в ArrayList в Java?
- 0Внешний ключ в дочерней таблице является нулевым после сохранения @OneToMany
- 0Как запустить два или более SQL-запроса одновременно?
- 1Хранимая процедура не выполняется ASP.NET C #
- 1Как правильно изменить или удалить объект из области?
- 1Один однократный фильтр для всех запросов ко всем сервлетам
- 1добавление пути к файлу в Eclipse
- 0регулярное выражение не соответствует, что я делаю не так?
- 1Различать подклассы с помощью equals & hashcode
- 0Недостаточно аргументов в строке, несколько предложений IN со значениями списка в запросе MySQL из Python
- 1Есть ли способ заставить модифицированную / gson разыграть двойную временную метку на длинную?
- 0jquery добавить или удалить класс с помощью toggleClass () в методе click
- 1Аутентификация FireBase mAuth.createUserWithEmailAndPassword (электронная почта, пароль) ошибка
- 0Как представить отношения один-ко-многим в JSON с помощью Php?
- 1TargetInvocationException при запуске проекта на wp7
- 0проблема в кнопке выхода FB
- 0jquery удалить содержимое последнего тд
- 0Странное поведение Angular 1.3 при копировании элемента в NG-повтор
- 0как пройти http ошибку 400 без удаления куки
- 0Изотоп: написать функцию для getSortData из массива? (оптимизация, скрипка предоставлена)
- 1Как я могу включить в своем коде код actionListener для нажатия кнопки для извлечения данных, введенных в графический интерфейс для нескольких частей кода?
- 0Динамическое отображение .NET 4.5 и атрибут ошибки
- 0Я хочу получать вложения в электронное письмо от формы
- 1Сообщение JMS не получено слушателем Spring
- 1Оператор переключателя в Javascript
- 0GCC не разрешается автоматически .cpp из класса .h include
- 1Пользовательский переход между страницами в WinRT
- 1Установка httpVersion с помощью httpClientBuilder
- 0Как перенаправить пользователя обратно на предыдущую страницу после входа в систему?
- 1Как мне проанализировать JSON, у которого экранированы акценты ключей и значений, не влияя на экранирование в значениях полей?
- 0Глядя, чтобы округлить цифры в столбце [дубликаты]
- 0Получение нескольких строк одной и той же вещи из базы данных
- 1Если Элемент не существует
- 1Как можно безопасно выполнить операции, а затем асинхронно вставить более 250 000 слов из файла .txt, не вызывая переполнение стека?
- 0Сайт остановился, когда jQuery ajax загрузил большой элемент
- 0При использовании php html форма регистрации не отображается
- 0Проблема с подключением к базе данных mysql с использованием hibernate.xml
- 1Как исправить «android.enableSeparateAnnotationProcessing является экспериментальным и не поддерживается», который регистрируется как предупреждение?
- 0Проверка JQuery не запускается для флажков
- 1почему в android mobile version 8.1 [oreo] не работает сервис Floating Widget? [приложение становится раздавленным]
- 0AngularJS, как добавить элемент к определенному элементу
- 0PHP - Explode / substr / Filename
- 1Как обновить свойство навигации - без изменения каких-либо других полей
- 0JQuery закрыть диалоговое окно, когда завершение вызова AJAX
