close

目前知道的幾種REST API驗證機制有以下幾種,自己設計也是可以的:

1.Jason Web Tokens(JWT) 又稱Tokens, 詳細說明可以見

https://read01.com/PgGDgy.html

2.API Key + Secret Key, Amazon Web Services S3就是採用這種方式, 詳細見

http://docs.aws.amazon.com/zh_cn/AmazonS3/latest/dev/RESTAuthentication.html

http://dengyin2000.iteye.com/blog/548859

3.OAuth 2.0(access token), Dropbox是採用這種方式,詳細可以見

https://blog.yorkxin.org/2013/09/30/oauth2-1-introduction

http://coding.anyun.tw/2012/03/13/oauth-2/

https://www.dropbox.com/developers/reference/oauth-guide

以上安全機制都最好配合HTTPS,因為像Tokens的方式,被得取後一樣可以通過驗證存取特定資源,只有API Key + Secret Key在Secret Key沒有遺失情況下比較保險,當然如果對手是NSA,具有強大資源的也是能短時間解出Secret Key的。

arrow
arrow
    文章標籤
    REST API Tokens OAuth Secret JWT
    全站熱搜

    大衛的記事 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄