RESTful API,放置授权密钥的位置

时间:2013-01-31 16:45:00

标签: api security rest authentication api-key

我正在构建一个用于便携式设备的Laravel框架的api。我已经阅读了很多关于如何正确保护数据和传输的文章。

这些是我要采取的行动:

  1. 使用https
    2. 将数据发送到TLS
  2. 每个设备的唯一API密钥
  3. 不时重新生成的独特Tooken。
  4. 使用hmac-sha1
    5. ,用于加密数据

    所以我留下了两个问题:

    • 我应该在X-Authorization这样的标题中发送API密钥集吗?或者使用hmac-sha1将其添加到加密数据中的所有POST / GET / PUT / DELETE中?
    • 上面指出的两种方法之间有什么大不同?

    我主要基于本教程:http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/以及与SO

    上的问题相关的其他问题

    P.S。如果您认为我可以改进,请告诉我们!

0 个答案:

没有答案
相关问题
最新问题