所以,我已经完成了我的 /auth 端点的所有设置。我正在使用由 API 密钥签名的 Nonce-Encoded HMAC 来验证客户端。现在,我不完全确定我了解如何保护我的 API 中的其余资源端点。
一旦客户端通过身份验证,我是否应该创建一个身份验证令牌(散列客户端公钥 + 随机数)然后将其存储在数据库中,然后使用每个 api 请求(对于其他端点)散列请求客户端的公钥和随机数和比较两者?
或者我应该在身份验证后生成一些身份验证令牌并将其发送给客户端并存储它,然后要求他们将其与每个请求一起发回并进行比较?
此外,我的计划是在每次请求之前获得一个随机数。这看起来是不是太过分了?
任何帮助解释如何从这里开始的选项将不胜感激。