我正在设计一个将由外部 Web 服务器使用的 Web API。
只有外部 Web 服务器必须被授权才能访问内部 API。
最终用户将针对外部 Web 服务器进行身份验证,但在请求数据时必须将用户名转发到内部 API,因为有一些基于用户名的数据过滤。
内部 web api 服务器应该采用什么身份验证机制?
我从
X-API-Key标题开始,但是我应该如何提供用户名?我想避免在查询字符串中传递用户名我在考虑基本身份验证,其中密码是 X-API-Key
不记名令牌理论上也可以工作,但不记名令牌通常由授权服务器生成,在这种情况下不是一个选项。
编辑:请注意,最终用户不会进行任何 API 调用。它只是使用一些 CMS 访问网站构建,CMS 在内部获取数据并生成 HTML 响应。