我正在为公司的数据设计一个公共API。我们希望应用程序开发人员注册API密钥,以便我们可以监视使用情况和过度使用情况。
由于该API是REST,因此我最初的想法是将该密钥放在自定义标头中。这就是我看到Google,Amazon和Yahoo做到这一点的方式。另一方面,我的老板认为,如果密钥仅成为URL的一部分等,则该API更易于使用。“ http://api.domain.tld/longapikey1234/resource ”。我想对此有话要说,但是它违反了URL的原理,URL是您想要的简单地址,而不是您想要的方式或原因。
您觉得将密钥放入URL是否合乎逻辑?或者,如果将简单的JavaScript前端写入某些数据,您是否不必手动设置HTTP标头?
Answers:
应将其放在HTTP Authorization标头中。规格在这里https://tools.ietf.org/html/rfc7235
如果您想要一个可能吸引老板的参数:考虑一下URL是什么。网址是公开的。人们复制并粘贴它们。他们分享它们,并将它们放在广告上。没有什么可以阻止某人(无论是否知道)将URL邮寄给其他人使用。如果您的API密钥在该URL中,则每个人都拥有它。
最好在标头(而不是URL)中使用API密钥。
如果从浏览器尝试将URL保存在浏览器的历史记录中。这是非常罕见的情况。但是问题出在后端服务器记录所有URL时。它可能会公开API密钥。
您可以通过两种方式在标头中使用API密钥
基本授权:
条带示例:
curl https://api.stripe.com/v1/charges -u sk_test_BQokikJOvBiI2HlWgH4olfQ2:
curl使用-u标志传递基本身份验证凭据(在您的API密钥后添加冒号将阻止其要求您输入密码)。
自定义标题
curl -H "X-API-KEY: 6fa741de1bdd1d91830ba" https://api.mydomain.com/v1/users
我不会将密钥放在url中,因为它确实违反了这种宽松的“标准”即REST。但是,如果您这样做了,我会将其放在网址的“用户”部分。
例如:http://me@example.com/myresource/myid
这样,它也可以作为带有基本身份验证的标头传递。
在参数中传递api密钥会使客户端很难保留其APIkey的机密性,它们倾向于定期泄漏密钥。更好的方法是将其传递到请求url的标头中。您可以在代码中设置user-key标头。为了测试您的请求网址,您可以将user-key标头设置为api-key,从而在Google chrome中使用Postman应用。