在没有密钥/其他身份验证要求的情况下构建API是一个坏主意吗?
上升空间:
缺点:
我不是在这里建立下一个Facebook,只是一个简单的数据服务。我不希望支持大量用户,而且我的数据是静态的。
鉴于上述情况,在不需要密钥的情况下构建API是不好的做法,还是我会侥幸成功?
答案 0 :(得分:1)
使用REST-API,您可以使用HTTP身份验证,无需密钥。
如果您网站上的内容不被任何用户看到,您只需要对用户进行身份验证。
您可以在没有它的情况下启动,如果您认为需要保护您的站点(或个人资源)不受公众影响,只需在请求中不存在Authenticate标头时通过发送401状态代码来实现HTTP身份验证。 HTTP客户端了解开箱即用,因此您的用户无需更改。
实施方式的身份验证通常只是请求处理中的一个独立层或阶段,因此您无需撕掉所有代码。