API Key / Credentials建议

时间:2013-03-20 15:37:43

标签: api authentication api-key

为整个Web应用程序处理API服务层。 一个建议只是为每个请求(类似于Google)传递API密钥,另一个是基于消息的身份验证

http://en.wikipedia.org/wiki/Hash-based_message_authentication_code

每个人的建议是什么,以便选择采用哪种方法前进?

1 个答案:

答案 0 :(得分:0)

我认为问题应该是

  

我是否需要验证邮件的完整性?

如果你关心的只是限制对所述资源的访问,那么除了API密钥之外的任何东西都会被过度杀死; API密钥重量轻,易于实现并使用认证标准(BASIC等)。 收到消息后,您可以对数据执行简单的健全性检查。

如果您需要验证用户和消息的真实性,那么基于消息的身份验证是可行的方法