我使用codeigniter构建网络应用程序,我们决定使用codeigniter实现Phil Sturgeon Restful application,支持多种身份验证,例如:Basic,digset和Public Api密钥
我对以下内容感到困惑:
本教程仅支持Api密钥作为公钥,并且需要在每次api调用时发送密钥以识别呼叫者。
通过这种方式,这是一种与Api服务器交互的安全方式,如果第三方可以读取发送到服务器的其中一条消息,该怎么办?或者我需要在用户登录时创建一个新的Api密钥,并在他退出时禁用此密钥并且它将像访问令牌一样
此外,我发现有一种方法可以包括一个数字签名,每个呼叫使用两个Api密钥(公共和秘密)签署一些秘密号码,如果有人设法读取其中一个已发送的消息,他们就不会能够从签名中找出这个秘密。我不知道如何在 Phil实施