此处的任何人都知道JSON网络令牌。请赐教。
以下是我的理解:
- 客户端将通过传递用户名:密码或api密钥:密钥来请求令牌。
- 服务器将对其进行身份验证并生成将发送回客户端的令牌。
- 然后,客户端将通过传递该令牌来请求特定数据。例如GetUsers
现在我的问题出现了:
- 如何保护我的用户名:密码或api密钥:客户端的密钥。
- 如果没有问题的解决方案1.那么我打算在服务器端移动我的密钥。但是,我仍然感到困惑,因为我的密钥不会公开显示,但我的请求令牌的网址将公开。
这是问题2的情景。
设置将是:
场景将是:
- 客户端将向我的本地服务器请求存储密钥的位置。例如www.example.com/authenticate
- 我的本地服务器将向第三方API请求令牌并将其发送回客户端
我的密钥不可见,但公开显示www.example.com/authenticate。
请帮我断定使用哪一个以及我应该遵循哪种安全措施。