Ben muhafaza uygulamaları için Dinlendirici bir API bina üzerinde çalışıyorum. Şu anda daha kontrollü erişim ve güvenlik gerektiren içine çeşitli şeyler inşa etmek istiyoruz. API güvenliği hakkında araştırma yaparken, kullanmak için birkaç farklı görüş buldum. Diğerleri anahtarları, ve hatta Diğerleri API (burada buldum soruları dahil) OAuth yemin tercih ederken, bazı kaynaklar HTTP-Auth gitmek için yol olduğunu söylüyorlar gördüm.

Sonra, elbette, olanları tercih ederim, ki, API anahtarları, ki bu OAuth için tasarlanmıştır uygulamaları erişim almak adına bir kullanıcı olarak anlıyorum, gibi imzalanması halinde olmayan bir Facebook sitesini kullanarak Facebook hesabı ve bir kullanıcı doğrudan erişim kaynakları üzerinde bir site yapmışlar özellikle kaydoldum (gibi resmi Twitter istemci erişim Twitter sunucuları). Ancak, OAuth için öneriler kimlik doğrulama ihtiyacı en temel bile görünüyor.

Benim sorum, ilk üç arasındaki pratik farklar nelerdir HTTPS üzerinden yaptığı üstleniyor? Bir başka adaylar üzerinde olmalı mı?

Bu sizin ihtiyaçlarınıza bağlıdır. Sana ihtiyacım var:

• API isteği yapmak olduğunu iddia eden kimliği?
• Kimlik doğrulama – gerçekten onlar söylüyorlar kim bunlar?
• Yetkilendirme yapmaya çalıştıkları şey yapmaya hakları var mı?

ya üç?

Eğer sadece API Çağrıları birim ya da dizi izlemek için arayan tanımlamak gerekirse, basit bir API Anahtarı kullanın. Eğer API anahtarı verilen kullanıcı başkasıyla paylaşıyorsa, API aramak mümkün olacak unutmayın.

Ama, eğer Yetki olarak, yalnızca API arayan dayanarak belirli kaynaklara erişim sağlamak, oAuth kullanmak gerekir.

İşte bu güzel bir açıklama: http://blog.apigee.com/detail/do_you_need_api_keys_api_identity_vs._authorization/

GÜNCELLEME: Biri yukarıdaki bağlantıya dikkat çekti artık çalışmaz. İşte biri 1 ** referans olarak yukarıdaki bağlantıyı kullanarak yazdığım bir makale