为整个Web应用程序处理API服务层。 一个建议只是为每个请求(类似于Google)传递API密钥,另一个是基于消息的身份验证
http://en.wikipedia.org/wiki/Hash-based_message_authentication_code
每个人的建议是什么,以便选择采用哪种方法前进?
答案 0 :(得分:0)
我认为问题应该是
我是否需要验证邮件的完整性?
如果你关心的只是限制对所述资源的访问,那么除了API密钥之外的任何东西都会被过度杀死; API密钥重量轻,易于实现并使用认证标准(BASIC等)。 收到消息后,您可以对数据执行简单的健全性检查。
如果您需要验证用户和消息的真实性,那么基于消息的身份验证是可行的方法