0

クライアントが基本認証を使用して API にログインしようとしたときに、サーバーが API キーと共有秘密キーを返しても問題ありませんか? たとえば、ユーザーがこのリンクhttp://api.example.com/authorize?auth=some_encoded_Base64_stringを入力すると、応答は次のようになります。

Content-Type: application/xml
Date: Fri, 10 Nov 2006 20:04:45 GMT    
Transfer-Encoding: chunked
Authorization: apiKey;secretKey

この方法を使用すると問題が発生しますか? APIコアメソッドはAPIKeyハッシュのみを受け入れ、最初のステップとして基本認証を使用する必要があることを取得するために、私はこのようになりたかった. 今のところ、ここでは OAuth を使用しません。

このプロジェクトの新しい ASP.NET Web API を試しています。

4

1 に答える 1

0

HTTPは応答にヘッダーを定義しないためAuthorization、カスタムヘッダーを定義する必要がある場合は、X-プレフィックスを使用します。

また、設計の観点から、HTTPヘッダーは呼び出しに直交するデータを渡すことになっています。ペイロードに含める必要のあるデータを渡そうとしているようですので、ヘッダーの使用は控えます。

このデータをペイロードで渡します。

SSLを使用し、URL、HTTPヘッダー、またはペイロードでデータを渡すと、安全になります。

于 2012-04-25T09:52:34.063 に答える