我有第三方的restful服务,它将许可密钥作为查询参数值
e.g. www.samplerestservice.com?key=azcfdfdfxcvcsdasdassds
一旦您在他们的页面上注册,他们将为您提供许可证密钥。 我怀疑是直接传递密钥是否正常,或者我如何保护我对API的调用。
非常感谢!
答案 0 :(得分:1)
实际上,作为第三方API的客户,您在选择安全措施时受到限制。您需要接受服务所需的所有安全规则,例如使用带有TLS的HTTPS - 而不是HTTP,安全存储许可证密钥等等。
为每个请求发送许可证密钥就像通过Internet发送每次密码一样。当然,这不是安全的通信方式,应该从服务方面执行其他措施。它可以是带有TLS的HTTPS,IP地址限制,许可证密钥到期策略,带有错误密钥的请求的时间限制,安全存储许可证密钥(散列)等等。在选择第三方服务时,您应该考虑这些因素。