我试图弄清楚如何在我正在创建的网站 API 中实现安全性。让我解释一下我的应用程序的设计。
我正在编写一个在线发票应用程序,以允许用户创建、存储和发送发票。该应用程序分为两部分,用户输入和查看发票等的前端......以及处理网站所有处理的后端(保存,更新数据等......)
我坚持的是如何为我的网站实现某种安全性,以便用户输入用户名和密码,然后在后端进行身份验证,后端将知道哪个用户正在与它交谈(希望这是有道理的)
前端通过 RESTful API 与后端通信,但是当前端向 API 发送请求时,后端如何知道用户是谁以及是否允许用户访问 API。
我的前端是使用 Backbone.js 编写的,并使用 JSON 与后端 API 进行通信。后端是用 CakePHP 编写的
有几种 API 身份验证模式,您可以在此处阅读更多相关信息https://support.3scale.net/howtos/api-configuration/authentication-patterns,特别是“标准身份验证模式”部分
你基本上必须给用户一个秘密令牌,然后在 API 调用请求将该令牌发送到后端,这样你就可以在两端关联用户
如果您像我一样想要省去所有实施的麻烦,您可以使用 3scale 免费帐户 (http://www.3scale.net) 为您管理身份验证,这样您甚至可以进行访问控制,限制API 调用等。在此处查找更多详细信息:http ://www.3scale.net/2012/06/the-10-minute-api-up-running-3scale-grape-heroku-api-10-minutes/
该示例使用了 ruby 插件,但在 GH github.com/3scale/3scale_ws_api_for_php 中也提供了一个 php 插件