关于API安全性的新手问题:
当我从某些API提供商那里应用API服务时,通常我只是登录并在其api管理站点中生成api密钥或令牌。之后,我可以将此api密钥或令牌嵌入访问API的请求中。
有人告诉我这是OAuth2。但是,阅读了几篇有关OAuth 2的文章后,看来OAuth服务器发出的OAuth-2令牌将过期,并且需要刷新令牌才能获取新令牌。
但是我从那些API提供商那里获得的API密钥没有提及到期,而是可以在其API管理站点上手动撤消该API密钥。
因此,如果我有一些我想使用类似方式(让用户在我的网站上管理自己的api密钥)来保护的API,如何通过使用OAuth 2服务器来实现?
答案 0 :(得分:1)
我认为您上面解释的是两种不同的授权请求方式:
A。使用API密钥
B。使用OAuth 2.0
如果您想为其他开发人员提供API服务:
这是有关OAuth 2.0, access tokens, and how to implement it on your site的更详尽的解释。