我正在为公司的数据设计一个公共API。我们希望应用程序开发人员注册API密钥,以便我们可以监视使用情况和过度使用情况。
由于该API是REST,因此我最初的想法是将该密钥放在自定义标头中。这就是我看到Google,Amazon和Yahoo做到这一点的方式。另一方面,我的老板认为,如果密钥仅成为URL的一部分等,则该API更易于使用。“ http://api.domain.tld/longapikey1234/resource ”。我想对此有话要说,但是它违反了URL的原理,URL是您想要的简单地址,而不是您想要的方式或原因。
您觉得将密钥放入URL是否合乎逻辑?或者,如果将简单的JavaScript前端写入某些数据,您是否不必手动设置HTTP标头?