Ich erstelle eine einfache Web-API, die json zurückgibt.
Es wird einfache Crud-Operationen durchführen.
Was ist der beste Weg, um Benutzer zu authentifizieren, OAuth scheint hier die wichtigste Empfehlung zu sein, aber ich bin auf der Suche nach etwas, das ich einfach, Token-basierte oder und API-Schlüssel implementieren kann?
Irgendwelche Ideenvorschläge Tipps wären toll, danke
UPDATE: Vergiss zu erwähnen, dass diese API nicht für den allgemeinen Gebrauch gedacht ist, sondern nur für meinen eigenen Gebrauch, aber ich möchte sicherstellen, dass jemand nicht allzu leicht reinkommt, wenn sie darauf stolpern.
Um eine gute API zu erstellen, sollten Sie zunächst die API anderer Leute verwenden, um zu sehen, wie sie funktionieren. Um RESTful zu sein, wird ein API-Schlüssel verwendet, der nur eine wirklich große Zufallszahl oder "kryptografisches Nonce" ist. Aber das ist genau wie eine unsterbliche Session-ID, um eine Benutzer-Authentifizierungsinformation nachzuschlagen, was nicht so toll ist. OAuth ist großartig, wenn Sie möchten, dass Ihr eigenes System kerberos sehr sicher ist.
Es ist möglich Hijack-JSON-Antworten zu entfernen ist eine Falle gegen Json. Wenn der API-Schlüssel für jede Anforderung benötigt wird, kann der Angreifer diese Methode nicht verwenden.