我已经为我的SaaS网站制作了一个RESTful API。
要使用它,用户必须在URL中输入一个令牌密钥作为参数。
即使它在SSL下,我也不喜欢密钥在URL中的事实。
保护API的其他方法有哪些?
答案 0 :(得分:1)
通常的方法是在HTTP标头中发送令牌,而不是URI。您应该使用Authorization
标题本身来保持标准。当您需要发送令牌而不是用户/密码时,请使用自定义域。
例如,您可以使用以下内容:
Authorization: MyCompanyLogin apikey="8hj34893u32j9023r02r"