我正在从头开始构建我的第一个REST API,并且正在尝试了解处理API令牌的最佳方法。我不是在谈论“用户身份验证”(我会使用OAuth)。我正在谈论应用程序用来标识自身的公共/私有令牌,以便我的API可以决定是否允许应用程序首先使用API。
任何拥有有效令牌的人都可以使用某些API资源,有些则需要OAuth身份验证。我将通过HTTPS与API进行通信,但我仍然希望确保遵循某种来回传递令牌的标准。
答案 0 :(得分:6)
你实际上是在谈论用户身份验证,信不信由你。
我在谈论应用程序使用的公共/私有令牌 标识自己,以便我的API可以决定是否 应用程序首先允许使用API。
这是用户身份验证 - 只是“用户”是调用API的应用程序。
如果OAuth不足以完成您需要的所有操作(可能,您应该检查!),您不应该开始向HTTPS添加另一种自定义身份验证方法。相反,站在巨人的肩膀上并使用Basic Authentication,因为就是它的用途。您的工具,系统管理员和API客户将会感谢您。