我是创建 API 的新手,我正在为我的 php 站点创建一个 API。现在无论如何,我目前正在做的是让我的脚本对一些执行所有处理的 php 文件进行 cURL 调用。例如,我正在对一个 api 文件进行 POST 调用,该文件可以说为该用户创建一个论坛帖子。现在对我来说重要的是如何验证和检索发送数据的用户。那么我怎么知道 cURL 调用来自我的服务器呢?
我要做的是让我的服务器有一个密钥,该密钥在 api 调用中传递并由 api 文件验证。api 文件将确保密钥正确,然后使用传入的任何用户名来创建论坛帖子。我唯一担心的是,如果我发现这把钥匙我搞砸了。我还希望能够让网站工作让我们说作为一个 android 应用程序所以我希望能够进行 curl 调用让我们说(不确定是否可能)并将一些身份验证密钥发送到我的服务器但我从不想要用户能够对密钥进行数据包检查。
所以我的问题是如何安全地进行 curl 调用,因为当我进行 curl 调用时,它不会读取我设置的任何 $_SESSION 值(除非我错过了某些东西)。任何帮助深表感谢。我也在考虑每次都使用用户名和密码进行身份验证,唯一的问题是我有点想避免每次执行 api 调用时都必须验证用户名和密码是否正确,因为那将是另一个必须的查询做完了。但是,如果这是推荐的方式或行业方式,那么就不能这样做。只是在寻找如何以正确的方式处理所有事情。