所以,我的/ auth端点都设置好了。我正在使用由API密钥签名的Nonce-Encoded HMAC来验证客户端。现在,我不完全确定我理解如何保护API中的其余资源端点。
一旦客户端经过身份验证,我应该创建一个身份验证令牌(散列客户端公钥+ nonce),然后将其存储在数据库中,然后将每个api请求(对于其他端点)散列为请求客户端的公钥和nonce并比较两者?
或者我应该在身份验证后生成一些身份验证令牌并将其发送到客户端并存储它,然后要求他们在每次请求时将其发回并进行比较?
此外,我的计划是在每次请求之前获取一个nonce。这看起来有多大吗?
任何帮助解释如何从这里开始的选项将不胜感激。