私は Web アプリの構築に codeigniter を使用しています。Phil Sturgeon Restful アプリケーションを実装することに決めました。codeigniter は、Basic、digset、Public Api キーなどの多くの種類の認証をサポートしています。
私は次のことで少し混乱しています:
チュートリアルでは、API キーを公開キーとしてのみサポートしており、呼び出し元を識別するために、すべての API 呼び出しでそのキーを送信する必要があります。
そのようにして、これは Api サーバーとやり取りするための安全な方法です。サーバーに送信されたメッセージの 1 つをサードパーティが読み取ることができたらどうでしょうか。または、ユーザーがログインするたびに新しいApiキーを作成し、ログアウトするたびにこのキーを無効にする必要がありますか?アクセストークンのように機能します
また、2 つの Api キー (公開と秘密) を使用して秘密の番号で署名されたすべての通話にデジタル署名を含める方法があることもわかりました。署名からのこの秘密。そして、 Phil 実装でメインタイムにこの種の認証を実装する方法がわかりません