探索第三方 API 服务的身份验证方法:优点和缺点
赛斯·法特的相片
赛斯法特
·
2023 年 3 月 18 日
·
4分钟阅读
嗨,大家好,
我们中的大多数人已经使用多个第三方 API 服务来实现您的业务逻辑。是的,他们中的大多数都有不同的身份验证方式。
在这篇文章中,我将拆解一些流行的方式。让我们开始吧。
简单的 API 密钥
80% 的服务都是以这种方式使用的。我们只需索取 API 密钥(从管理仪表板)然后 boom,我们可以立即使用这些服务。
我们需要在标头、URL 参数或 POST 正文中提供 API KEY。
$http->get('https://awesome-service.com/v1/api/awesomeness', [
'headers' => [
'X_API_KEY' => 'generated_api_key_here',
],
]);
优点:
最简单的方法,实现很简单。
API 消费者很高兴,因为它也非常易于使用。
API KEY 将永远可用。
缺点:
API KEY 将永远可用(笑)。检查下一个。
拥有最差的身份验证安全性。如果你公开了你的密钥,每个人都可以使用你的密钥访问该服务(如果该服务包含敏感数据、金钱等,那将是一个真正的危险)。以及速率限制。
为避免这种情况,请在后端服务中创建自己的包装层来处理第 3 方请求。切勿返回/使用 FE/Mobile 中的密钥。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
