我编写了一个 Web 应用程序,并希望允许其他开发人员从中获取信息。
我正在使用的服务器不是那么糟糕并且无法处理那么多请求,因此我们的想法是生成 API 密钥并将其分配给想要查询我们信息的每个人。使用 Api 密钥,我可以限制每日请求,也许还可以收集一些统计数据,看看哪些信息对其他开发人员真正有用。
问题是,我担心它的安全方面。由于 Api 密钥将被发送到我们的服务器(通过 GET/POST 等),因此有人可以使用 wireshark 嗅探请求并轻松获取开发人员 API 密钥,对吧?
我考虑过生成一个密钥和一个 API 密钥。然后我可以指示其他开发人员将它们连接起来并将其哈希发送到我们的 API。然后我会验证哈希是否有效并允许请求......但是同样的问题会持续存在。黑客仍然可以嗅探该哈希并代表其他开发人员的应用程序发出请求。
所以我的问题是
- 我怎样才能避免这个问题?
- 或者更好的是,我的担忧是否有效?这是一个真正的问题吗?
- 是否有更好、更安全的方式来允许访问我的信息,而不会使其他开发人员过于复杂?
你们有什么感想?