हमारे वेब ऐप के लिए एपीआई डिज़ाइन करते समय, हम उनके सबडोमेन का उपयोग 'उपयोगकर्ता नाम' के रूप में करेंगे और एक एपीआई कुंजी/साझा रहस्य उत्पन्न करेंगे। सबसे पहले, क्या उपयोगकर्ता नाम के रूप में सबडोमेन का उपयोग करना ठीक है? मुझे एक और कुंजी उत्पन्न करने का लाभ नहीं दिख रहा है। एसएसएल एपीआई को सुरक्षित करना: एसएसएल और HTTP बेसिक प्रमाणीकरण बनाम हस्ताक्षर
हर में का अनुरोध उपयोगकर्ता नाम उप डोमेन पर सेट है और एपीआई के पासवर्ड के साथ
- उपयोग बुनियादी HTTP प्रमाणीकरण:
विभिन्न एपीआई दो चीजों में से एक करने के लिए लग रहे हैं कुंजी। चूंकि हम एसएसएल का उपयोग कर रहे हैं तो यह स्पूफिंग से सुरक्षित होना चाहिए।
उल्लेखनीय एपीआई: Google Checkout, Freshbooks, GitHub, Zendesk
- साझा रहस्य
आम तौर पर करके हासिल साथ अनुरोध की एक हस्ताक्षर बनाएं कुंजी/मूल्य जोड़े को ऑर्डर करना और हस्ताक्षर उत्पन्न करने के लिए साझा रहस्य के साथ एचएमएसी-एसएचए 1 का उपयोग करना। हस्ताक्षर तब अनुरोध के साथ भेजा जाता है और दूसरे छोर पर सत्यापित किया जाता है।
उल्लेखनीय एपीआई: Google Checkout, Amazon AWS
पुनश्च: बस ऐसे ही OAuth पढ़ 2 एक उपयोगकर्ता नाम/पासवर्ड भेजने के पक्ष में हस्ताक्षर गिरती है: thats कोई गलती है, Google Checkout दोनों
संपादित का समर्थन करता है एसएसएल के माध्यम से।
किसी को भी चुनने के लिए किसी भी राय से: एसएसएल बनाम हस्ताक्षर?