首先,我将概述基于HMAC的基于HTTP的服务器API的身份验证选项,最后,我将为开发人员构建和使用基于
HMAC的身份验证提供一些技巧。
最近,我已经在服务器API及其周围进行了大量研究和研究。 这些类型的API的身份验证实际上取决于服务的类型,分为两大类:
- 消费者或个人应用程序,通常使用简单的用户名和密码,在某些情况下使用OAuth,但这更多地用于在受信任的第三方中标识个人授权会话。
- 基础结构应用程序通常使用一组与所有者/管理员凭据不同的凭据,并为企业或设备提供某种自动化API,以增强功能或控制某些内容。
对于基础结构API,我介绍了一些选项,下面将对这些选项进行详细说明。
基本认证
这是最简单的实现,并且对于某些实现可以很好地工作,但是由于用户名和密码随请求而出现,因此它需要传输级加密。 有关此的更多信息,请参见Wikipedia文章 。
摘要式身份验证
实际上,这比基本H
