我正在使用 codeigniter 来构建 Web 应用程序,我们决定使用支持多种身份验证的 Codeigniter实现Phil Sturgeon Restful 应用程序,例如:Basic、digset 和 Public Api 密钥
我对以下内容有点困惑:
本教程仅支持将 Api 密钥作为公钥,并且该密钥需要与每个 api 调用一起发送以识别调用者。
这样,这是一种与 Api 服务器交互的安全方式,如果第三方可以读取发送到服务器的消息之一呢?或者我是否需要在用户登录时创建一个新的 Api 密钥,并在他注销时禁用此密钥,它就像一个访问令牌
我还发现有一种方法可以在每个呼叫中包含一个数字签名,每个呼叫都使用两个 Api 密钥(公共和秘密)使用某个秘密号码签名,如果有人设法阅读其中一条发送的消息,他们将无法弄清楚这个来自签名的秘密。而且我不知道如何在Phil Implementation的主要时间实现这种身份验证