我正在处理的API仅适用于移动应用。由于移动应用程序位于不同的设备和IP上,我不确定如何在应用程序之外访问我的API。我能想到的唯一解决方案是随应用程序推出的API密钥。这个应用程序不需要登录作为纯粹的GET请求,但我不希望人们能够在应用程序之外点击API。
我该怎么做呢?密钥是否是一个理想的选择?如果密钥泄露了怎么办?
答案 0 :(得分:1)
您可以使用已经指出的访问令牌(密钥)。
将令牌保存在本地存储中,在每个请求中将其发送到标头中(搜索:授权承载)。然后每次在API上检查它。
如果您的密钥遭到入侵,请在您的API上进行更改。您还需要在移动设备上进行更改 - 您是否可以访问它?
我希望有所帮助。