Tôi đang xây dựng một API RESTful JSON được xây dựng với node.js và express.js,cách bảo mật API RESTful JSON cho cả cuộc gọi trên điện thoại di động và AJAX?
API sẽ được truy cập cả bởi các cuộc gọi AJAX phía máy khách (từ Ember.js) và bởi ứng dụng di động Android gốc (chuẩn) Yêu cầu HTTP).
Tôi đang nhìn vào hai điều:
1) xác thực - làm thế nào để biết được người dùng đang truy cập vào API, trong phát triển Tôi đã sử dụng một khóa API cho mỗi người dùng và thông qua nó trong tiêu đề yêu cầu
2) bảo mật - cách đảm bảo chỉ những người dùng được xác thực thực mới truy cập dữ liệu riêng tư.
là các khóa API là một chiến lược tốt cho cả khách hàng di động gốc và cho các cuộc gọi AJAX? (người dùng gửi người dùng + chuyển tới API và nhận khóa API, sau đó được sử dụng để tạo yêu cầu bổ sung)
tôi có nên xem một thứ gì đó như OAUTH (1 hoặc 2) không? Tôi hiện không có kế hoạch cho các ứng dụng của bên thứ ba truy cập API nên tôi không cần Ủy quyền, nhưng điều này có thể thay đổi trong tương lai.
có nghĩa là tôi cần có máy chủ cung cấp OAUTH của riêng mình không?
OAuth sẽ là giải pháp chung và hiện có tốt cho vấn đề của bạn cũng giải quyết được một số vấn đề có thể xảy ra trong tương lai. Có lý do gì để bạn không sử dụng nó? – mtsr
Tôi không có bất kỳ trải nghiệm nào với OAuth nên tôi đã hỏi về chiến lược đầu tiên .. Tôi có cần chạy máy chủ của nhà cung cấp OAuth của riêng mình không? –
Bạn có nhận được câu trả lời ngay bây giờ không? Tôi có cùng một câu đố. –