REST API 身份验证令牌

Posted 2023-03-08

【中文标题】REST API 身份验证令牌

【英文标题】：REST API authentication tokens

【发布时间】：2011-12-16 16:47:06

【问题描述】：

我正在从头开始构建我的第一个 REST API，并试图了解处理 API 令牌的最佳方式。我不是在谈论“用户身份验证”（我会为此使用 OAuth）。我说的是应用程序用来标识自己的公共/私有令牌，以便我的 API 可以首先决定是否允许应用程序使用 API。

任何拥有有效令牌的人都可以使用某些 API 资源，而有些则需要 OAuth 身份验证。我将通过 HTTPS 与 API 进行通信，但我仍然想确保我遵循某种标准来来回传递令牌。

【问题讨论】：

另见REST authentication and exposing the API key。

【参考方案1】：

您实际上是在谈论用户身份验证，信不信由你。

我说的是应用程序使用的公共/私有令牌 标识自己，以便我的 API 可以决定是否 首先允许应用程序使用 API。

这是用户身份验证 - 只是“用户”是调用您的 API 的应用程序。

如果 OAuth 不足以满足您的所有需求（它可能，您应该检查一下！），您不应该开始向 HTTPS 添加另一种自定义身份验证方法。相反，站在巨人的肩膀上使用Basic Authentication，因为这就是它的用途。您的工具、系统管理员和 API 客户端将为此感谢您。