标签: api http security authentication authorization
大多数 Google API(例如地图/地方信息图)和 Stackoverflow API(不使用OAuth时,因此不会冒充用户)将需要{{1要传递的参数。此key标识应用程序,主要用于控制配额。
key
我无法理解为什么这被认为是比通过SSL将key作为HTTP标头传递更好的设计决策。至少我不认为后者会将我的key暴露给潜在的key,也不允许他们重播我的请求10000次到期我的每日配额。
这个看似很差的设计决定有没有充分的理由?