ho trovato un bel paio di domande su questo argomento su SO, ma non abbiamo trovato nessuna risposta a questa domanda:RESTful API Authentication
Devo convalidare gli utenti con il proprio nome utente e password, o con una chiave API? E quali sono i pro e i contro di ciascun metodo.
Chiedo questo perché nella mia API ci sono un paio di metodi che vorrei bloccare e verificare che l'utente abbia accesso ad alcuni documenti o azioni. Sono un po 'riluttante ad autenticarsi facendo in modo che l'utente invii un'intestazione HTTP AUTH con il loro nome utente e password perché non è sicura e un po' più complicata per l'utente. D'altra parte, però, se uso una chiave API, qual è il punto in cui l'utente crea una password? Poiché non lo useranno più per accedere alle funzionalità dell'API.
UPDATE
Se altri lettori di questo sono curioso quello che ho finito per usare, ho deciso di copiare come Amazon fa il loro validazione (buona spiegazione here: https://www.ida.liu.se/~TDP024/labs/hmacarticle.pdf)
Apprezzare l'AGGIORNAMENTO. Grazie. –
Il collegamento è rotto, per favore considera di aggiornarlo. Link aggiornato: https://www.ida.liu.se/~TDP024/labs/hmacarticle.pdf –
link: http://acaasia.blogspot.co.il/2013/04/designing-secure-rest-web- api-without.html – OhadR