我工作的公司正在外包他们的电子商务网站,但在他们的遗留系统中维护订单管理。(为什么?政治)。我们正在构建一个 API,以便新的电子商务网站可以将订单记录等传递给旧系统。来自这个系统的大量呼叫通常是实时的。在这种情况下,最好的身份验证方法是什么?效率是这里的关键。我不确定知道我唯一消费者的 IP 是否能让我受益匪浅,即某种 IP 身份验证是否值得信赖,或者是否比简单的基本身份验证更有效?考虑到额外的开销,我猜我应该避免 oauth 或滚动我自己的 hmac 解决方案。
问问题
63 次
1 回答
0
这取决于你的听众。如果这仅用于内部消费,检查 ip 或通过 https 添加基本身份验证应该绰绰有余。
如果您计划将您的业务暴露给其他客户,那么您可能希望实施更复杂的身份验证机制。我喜欢亚马逊使用的东西,但你们可以调整它以满足自己的需求。
于 2013-06-25T21:16:07.987 回答