我有一个基于浏览器的小页面应用程序,它使用REST API。用户通过基于短时间令牌的系统进行身份验证。
我可能会将其扩展为包括移动应用程序(本机或混合应用程序),这些应用程序也将使用相同的API。
我确实有一个问题 - 如何锁定我的API以便只有我的应用可以使用它?
换句话说,如何阻止其他人构建使用我的API的应用程序?
答案 0 :(得分:0)
您需要某种身份验证,如果您要进行身份验证,则需要使REST API使用HTTPS。基本的auth通常很适合这个账单。您的应用将拥有凭据,但您的人类用户不会。这也允许您根据需要向客户或希望使用您的API提供凭据。