我目前面临两难选择,在这种情况下,API-Key的默认值是X-API-KEY。
目前我正在使用PHIL STURGEON休息服务器进行codeigniter。
我想知道的是API-Key字段,它是否可以像使用api验证应用程序的密钥一样。当我们想要找出当前登录的用户时,我们必须创建自己的类并设置另一个令牌密钥。
这就像一个双层安全性,其中每个请求必须有一个api密钥,允许客户端使用api,但也有一个特殊的令牌密钥,就像会话一样,找出当前登录的用户。
或者api-key是否用于验证当前登录用户充当会话,但不能用作防止人们调用你的api的安全措施。
总而言之,API-Key用于验证应用程序,还是用于验证用户身份?
答案 0 :(得分:0)
API-Key用于验证用户身份。 理论上,您不能在REST Api中保存状态(例如:current_user)。每次通话都必须是独立的。