我正在构建一个提供API作为主要功能的Web应用程序。我一直在研究身份验证的方法,但一直在努力决定使用什么。
由于这将是付费服务而API是服务,因此我需要尽可能简单地使用它,以免让人们失望,但显然我希望它是安全的。我考虑过使用基于SSL的HTTP基本身份验证,但是如果可能的话,我希望尽早避免SSL的成本/开销/麻烦,并且可能会在以后提供它作为选项。
我喜欢AWS样式API身份验证(请参阅here),但问题是我不能让用户将查询字符串作为纯文本和签名一起发送,因为参数可能包含电话号码等内容认为客户宁愿不暴露。我考虑过提供一个密钥来加密字符串,该字符串与api密钥一起发送以识别用户。
您认为最好的选择是在保持简单性的同时加密查询字符串以及请求吗?
答案 0 :(得分:2)
使用HTTPS。它很简单,几乎所有客户端库都支持,可信,安全,并且它保护URL和有效负载。