私はAPIを作成しましたが、誰がそれを使用するか、どのくらいの頻度で使用するかなどをある程度制御したいと思います。ユーザーがAPIを使用するためにキーを提供する必要があるように、APIキー戦略が必要です。しかし、私はそれを実装する方法がわかりません。ユーザーはユーザー名とパスワードで登録されます。私が考えたのは、ユーザーがログインしたときにUUIDを割り当てて、データベースのテーブルに格納することでした。次に、各リクエストにこのuuidが含まれ、サーバーで各リクエストでチェックされます。
しかし、これは正しくないようです。ドロップボックス、ツイッター、フェイスブックなどのAPIキーを作成するための手順を誰かが説明できますか?これを自分で実装してみたいです。
ドロップボックス、ツイッター、フェイスブックなどのAPIキーを作成するための手順を誰かが説明できますか?これを自分で実装してみたいです。
注:のように復号化可能なキーにしたくない場合は、ハッシュ化されているため、解読が非常に困難です。次の戦略に従うだけです。一連の手順を実行して、ハッシュ化されていないデータ文字列を作成しますsha1("some-secret"."some-other-bit-of-info"."etc"."etc")。次に、APIコンシューマーは、独自のキーを生成する責任を負います。したがって、彼らはそれを構築するために必要な部品/情報を持っている場合にのみアクセスできます。
StripeのAPIを適切な例として取り上げます。
承認リクエストを行う:APIキーが返されます。" curlは-uフラグを使用して基本認証クレデンシャルを渡します(APIキーの後にコロンを追加すると、パスワードの入力を求められなくなります)。 " --Stripe Docs
それ以降のすべてのリクエストと一緒にそのキーを送信します。