我正在为我在服务器 A 上构建的服务编写一个 API。为了使用 API,网站被赋予了一个 API 密钥。该服务存储用户名/密码(在服务器 A 上)。我正在为网站所有者构建一个 PHP 脚本,以便人们可以从其他服务器(例如服务器 B)登录到该服务。
在服务器 B 上,用户将输入用户名和密码。此信息(连同站点的 API 密钥)将发送到服务器 A 上的 API,如果登录成功,则会发回响应。
这有多难做到?这里有哪些最佳实践?显然,到处发送密码是很危险的。我怎样才能保证这个安全?这是 OAuth 情况吗?部分登录不如获取有关用户/通行证组合是否有效的信息重要。
谢谢