Tôi cần một API. Tôi nên bắt đầu từ đâu?

Question

Tôi đang xây dựng một ứng dụng PHP từ đầu (sử dụng khung công tác Kohana3). Tôi sẽ kiến ​​trúc nó để tôi có thể sử dụng một API để truy cập dữ liệu trong nội bộ. Đồng thời, tôi muốn cung cấp nó cho công chúng.

Tôi định sử dụng phương thức truy cập RESTful. Tuy nhiên, tôi đang gặp khó khăn khi tìm thông tin rõ ràng về cách bảo mật API đúng cách. Nói cách khác, làm cách nào để triển khai chữ ký và quyền truy cập API?

Answer 1

Bạn có thể thử frapi. Nó sẽ nhanh chóng cho phép bạn xây dựng RESTful API của mình, mà sau đó bạn có thể sử dụng cho ứng dụng của bạn, và vào một ngày sau đó công khai cùng một API.

Answer 2

Tôi nghĩ rằng một nơi tốt để bắt đầu sẽ được đọc qua thông tin chung về ký kỹ thuật số. Wikipedia là một tài nguyên tuyệt vời http://en.wikipedia.org/wiki/Public_Key_Infrastructure hoặc http://en.wikipedia.org/wiki/X.509.
Ở cấp độ cơ bản, tôi sẽ cung cấp cho mỗi khách hàng một Khóa riêng. Trong thư viện khách, tôi sẽ mã hóa khóa. Khi một khách hàng thực hiện yêu cầu, hãy xác minh rằng khóa là khóa mà bạn đã cấp cho khách hàng cụ thể đó.

Answer 3

Tôi đã tạo API REST PHP bằng CodeIgniter với Xác thực cơ bản, (cung cấp "id công ty" và "Khóa API" làm tên người dùng/mật khẩu). Sau đó, chúng tôi thấy rằng cần phải cung cấp khóa phiên liên quan trực tiếp đến Khóa API, chỉ với thời gian hết hạn.

Về cơ bản, chúng tôi truy vấn các loại dữ liệu khác nhau trong kho dữ liệu của chúng tôi (giống nosql :) tùy thuộc vào phương thức "được cung cấp trong URL". Chúng tôi đã truy cập điều này bằng cách sử dụng khả năng "phân đoạn" do CodeIgniter cung cấp.

Sau đó, chúng tôi gói từng phản hồi bằng "json_encode" đã được trả về và chúng tôi cũng sử dụng kết nối HTTPS để bảo mật.

Đối với lớp khách hàng, chúng tôi gói mọi thứ trong các cuộc gọi như $ client-> get_my_data ($ api_key), với một lớp bên dưới bằng cách sử dụng PHP Libcurl, hoạt động thực sự tốt để cung cấp Basic Auth.

Hope this helps,

CURL_GET

private function curl_get($url, $apikey, $co) 
    { 
     $curl_handle = curl_init(); 
     curl_setopt($curl_handle, CURLOPT_URL, $url); 
     curl_setopt($curl_handle, CURLOPT_CONNECTTIMEOUT, 2); 
     curl_setopt($curl_handle, CURLOPT_SSL_VERIFYPEER, FALSE); 
     curl_setopt($curl_handle, CURLOPT_USERPWD, $co.":".$apikey); 
     curl_setopt($curl_handle, CURLOPT_RETURNTRANSFER, 1); 
     curl_setopt($curl_handle, CURLOPT_DNS_USE_GLOBAL_CACHE, FALSE); 

     $buffer = curl_exec($curl_handle); 
     $error = curl_error($curl_handle); 
     curl_close($curl_handle); 
     // check for success or failure 
     if (empty($buffer)) { 
     //echo 'Something went wrong :(error: '.$error.'<Br>'; 
     } else { 
     return $buffer; 
     } 
    } 

Answer 4

Câu hỏi của bạn là một chút lớn hơn này; nhưng tôi có thể đưa ra một quan sát nhỏ về REST.

Tôi đã tìm thấy với REST, đó là cách tốt nhất là sử dụng các khóa nhân tạo cho mô hình dữ liệu cơ bản, thay vì các khóa tự nhiên. Ví dụ: xem xét địa chỉ RESTfull url: https://server/yourApp/viewUser/1234.html sẽ hiển thị người dùng có id 1234. Tuy nhiên, nếu bạn đã sử dụng các khóa tự nhiên, bạn có thể có URL giống như thế này https://server/yourApp/viewUser/Bob.html hoặc tệ hơn nếu thay vì Bob "Bob X" hoặc "Bob" Bob? Key = Giá trị ". Bạn không muốn phải suy nghĩ về việc tạo URL không hợp lệ.

Answer 5

OAuth sẽ là một lựa chọn tốt. Vì vậy, một cặp khóa/giá trị duy nhất. Bạn cũng có thể muốn xem Mashape nhưng không hoàn toàn chắc chắn nó phù hợp với những gì bạn đang cố gắng làm.

Answer 6

Hãy xem 3scale (http://www.3scale.net/) để thực hiện việc này - nó xử lý xác thực, kiểm soát truy cập, chính sách, giới hạn tốc độ, v.v. và miễn phí cho lưu lượng truy cập đáng kể. Chúng tôi có một mô-đun PHP để bổ sung cho hệ thống để kích hoạt các tính năng này. (Disclaimer - Tôi làm việc ở đó - nhưng hy vọng nó hữu ích!)