我刚刚读到了如何使用访问密钥和秘密ID将经过身份验证的请求发送到RESTful Web服务。但是,我不理解使用它比其他替代方案(例如通过用户名和密码发送)的优点,假设与服务器的所有通信都是通过HTTPS。
使用这种机制有什么好处?
感谢。
答案 0 :(得分:1)
访问密钥大致相当于用户名,访问密钥大致相当于密码。访问密钥使服务可以确定您是谁,并且访问机密确认它确实是您(“您”在此上下文中是您的站点)。访问密钥不敏感,通常可以在前端代码(Javascript,HTML链接等)中发布,而您需要保密的密码,因为否则其他人/网站将能够冒充您对服务的请求。密钥/秘密和用户名/密码方案之间没有太大区别;主要区别在于密钥和密钥通常是由服务随机生成的,这可以防止人们使用“default / 12345”和类似的废话等值。