如何在不使用URL上的令牌/密码的情况下保护对API的访问?

时间:2014-03-22 22:39:53

标签: api security rest

我已经为我的SaaS网站制作了一个RESTful API。

要使用它,用户必须在URL中输入一个令牌密钥作为参数。

即使它在SSL下,我也不喜欢密钥在URL中的事实。

保护API的其他方法有哪些?

1 个答案:

答案 0 :(得分:1)

通常的方法是在HTTP标头中发送令牌,而不是URI。您应该使用Authorization标题本身来保持标准。当您需要发送令牌而不是用户/密码时,请使用自定义域。

例如,您可以使用以下内容:

Authorization: MyCompanyLogin apikey="8hj34893u32j9023r02r"