我需要一些好的建议和想法。
我有wcfRest服务,客户端是iPhone和Android。客户端将获取GET和POST数据。
我还为客户端制作了一个GUID,它是一个GUID。
但是,客户端是否需要为他们请求的每种方法提供api密钥?或者有什么方法可以存储在会话中或什么?
例如:
JSON / getUserDetails / {用户ID} / {apikey}
JSON / saveUser / {apikey}
答案 0 :(得分:1)
您可以尝试检查OAuth,这是Twitter,Facebook,Google和其他人使用的安全方法。由于将API密钥发送到服务器可能会导致某人获取它并执行您可能不喜欢的内容。
<强>的OAuth
一种开放协议,允许通过桌面和Web应用程序的简单标准方法进行安全的API授权。它也适用于移动设备。
另请查看不同的语言http://oauth.net/code/
答案 1 :(得分:0)
您必须在每个请求上发送 某些内容 - 无论是API密钥还是经过身份验证的标头,您都需要一种方法来验证调用方。因此,最简单的方法是使用每个请求发送api密钥,尽管使用标头更好。