0

REST API を保護するための一般的な推奨事項は、SSL 経由で HTTP 基本認証を使用することです。私の質問は、HTTP 基本認証をクライアント(つまり、API にアクセスするアプリ) の認証にのみ使用するべきか、それともユーザー(アプリの消費者) の認証にも使用できるかということです。

ほぼすべての Web サービスが何らかのユーザー アカウントを使用しているため、ほとんどの API は両方に対処する必要があるようです。Twitter や Vimeo について考えてみてください。公開リソースと非公開 (ユーザー固有の) リソースがあります。

シンプルな REST API で、HTTP 基本認証 (SSL 経由) を使用して、クライアント認証とユーザー認証の両方を同時に実行できるのは当然のことと思われます。

これは良いデザインですか?

4

2 に答える 2

0

クライアントを認証するとは、おそらく API キーの使用を意味します。このメカニズムは、具体的なアプリケーション/クライアントを追跡するために使用されます。2 つ目は、たとえばクライアントの作成者が自分のアカウントをサービスから削除した場合などに、キーを無効にすることでアプリケーションを無効にできることです。API を公開したい場合は、それをお勧めします。

しかし、それは本当の保護を提供しないことを覚えておく必要があります。誰もがクライアントをダウンロードしてそのキーを抽出できます.

于 2013-07-27T06:37:36.707 に答える