0

为我们的整个 Web 应用程序开发 API 服务层。一个建议只是为每个请求传递一个 API 密钥(类似于 Google),另一个建议是进行基于消息的身份验证

http://en.wikipedia.org/wiki/Hash-based_message_authentication_code

每个人对继续选择哪种方法的建议是什么?

4

1 回答 1

0

我认为问题应该是

我需要验证消息的完整性吗?

如果你关心的只是限制对所述资源的访问,那么除了 API 密钥之外的任何东西都将是多余的;API 密钥是轻量级的,易于实现和使用身份验证标准(BASIC 等)。收到消息后,您可以对数据执行简单的完整性检查。

如果您需要验证用户和消息的真实性,那么基于消息的身份验证是要走的路

于 2013-03-20T15:50:16.913 回答