Laravelフレームワーク上にポータブルデバイス向けのAPIを構築しています。データと転送を適切に保護する方法に関する記事をたくさん読みました。
これらは私が確保するために取っている行動です:
https次のドメインにデータを送信しますTLS- 各デバイスに固有のAPIキー
- 時々再生されているユニークなトゥーケン。
- Takeenは、を使用してデータを暗号化するために使用されます
hmac-sha1
だから私は2つの質問を残しました:
- 次のようなヘッダーでAPIキーセットを送信する必要があります
X-Authorizationか?または、暗号化されたデータ内のすべてのPOST / GET / PUT / DELETEにhmac-sha1? - 上記の2つの方法の間に大きな違いはありますか?
私は主にこのチュートリアルに基づいています:http ://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/そしてSOの問題に関連する他の質問
PS私が改善できると思うことがあれば、私に知らせてください!