我开发了需要保护的Web API。这意味着只有经过身份验证的应用程序才能使用这些API。
这些API在后台使用,因此应用程序本身需要进行身份验证,而不是运行应用程序的用户。用户不会注意到任何事情。
哪种技术最适合使这些API安全?
答案 0 :(得分:2)
如果您不需要在给定用户的上下文中进行调用,并且只想确保只有已知应用程序可以调用您的API,那么发布每个应用程序API key是一种更简单的方法完成此操作而不必担心遵守您列出的协议。
另一方面,如果您的应用程序需要代表给定用户调用API,则OpenID Connect和OAuth 2.0等协议开始变得更有意义。但是,为了让人们能够提供准确的建议,您可能希望尝试提供有关您的用例的更具体的详细信息。