我在rails上开发了一个使用ruby的readonly api,也为这个api开发了一个android客户端。
我想要的是限制对这个只读api的访问。
我可以用于api的最佳解决方案是什么,
使用HTTP基本身份验证
通过访问令牌进行身份验证
OAuth等。
我需要ssl证书吗?
我的rails API托管在heroku上。我应该使用app.herokuapp.com子域名ssl还是使用我的自定义域名并为我的自定义域名购买ssl证书。
如果我确实需要ssl证书,请为ssl证书提供最好和最便宜的提供商。
提前感谢!
答案 0 :(得分:0)
最安全的API方法是为每个用户提供不同的API身份验证令牌。另一方面,如果你想使它甚至更多安全,我个人建议你使用SSL,因为SSL加密服务器和客户端之间的包,因此它是不可能的(不是不可能但几乎不可能)取决于您的SSL证书)劫持服务器和客户端之间的通信。