我正在设计一个REST API,供特定的授权计算机用来与服务器通信。服务器需要验证客户端的身份。
我看到很多API都使用访问令牌,也就是说,您首先使用完整的凭据进行授权以获取访问令牌,然后再使用该令牌发出所有其他请求。令牌仅在一段时间内有效。我不太了解为什么要这样做,而不是每次都传输凭据,尽管我可以想到一些原因:
- 能够与第三方共享此令牌而无需将凭据交给他们(在我看来,这不是必需条件)
- 使用比令牌更安全的方法来传输凭据(尽管我无法想象该方法是什么)
- 降低中间人可以获取证书的风险,只公开临时令牌(但是中间人可以等待请求新令牌以获取证书的风险; SSL也应该消除这种攻击媒介)
- 对令牌请求终结点进行速率限制,以使攻击者无法对其进行暴力破解,而不会限制令牌访问的终结点(然后为什么不将尝试使用无效凭据访问它的任何人拒之门外,而不对有效凭据进行速率限制?)
考虑了这一点之后,我仍然不知道该在API中使用令牌还是完整凭据。我是否缺少任何重要的论点?仅仅使用凭据就可以(安全)吗?