我正在编写一个用于移动应用的API。我想使用Api Key身份验证。
在这种系统中,我应该给每个用户一个api密钥吗?或者我应该只为每个连接到API的应用程序提供Api密钥?
我问的原因是:
如果我给每个用户api密钥并通过他们的api密钥对他们进行身份验证,那么经过身份验证的用户将只有一个,我可以发出/ reviews /和server等请求将返回由经过身份验证的用户完成的所有评论。
另一方面,应用程序将验证使用api,我应该提出“/ reviews?userId = 23842374283423”的请求。
哪一种是最常用的身份验证?
答案 0 :(得分:0)
通常,API密钥发布给使用API而不是应用程序的开发人员。虽然在大多数情况下,每个密钥仅用于一个应用程序,但理论上您可以使用相同的密钥。我建议采用第二种方法。