1
私は、主な機能としてAPIを提供するWebアプリケーションを構築しています。私は認証の方法を検討してきましたが、何を使うべきかを決めるのに苦労してきました。クエリ文字列暗号化を使用したREST API認証
これは有償サービスでAPIはサービスなので、できるだけ使用しやすいようにする必要があります。そのため、人を入れないようにする必要がありますが、明らかに安全なものにしたいと思います。私はSSL上でHTTP基本認証を使用することを検討しましたが、できるだけ早くSSLのコスト/オーバーヘッド/混乱を避けたいのですが、後でオプションとして提供することもできます。
私はAWSスタイルのAPI認証(hereを参照)が好きですが、パラメータには顧客が考える電話番号のようなものが含まれている可能性があるため、質問文字列をプレーンテキストとして送信することはできませんむしろ公開しないでください。私は、ユーザーを識別するためにAPIキーとともに送信される文字列を暗号化する秘密鍵を提供することを考えました。
シンプルさを維持しながら、リクエストとともにクエリ文字列も暗号化することをお勧めしますか?
これは最終的にはこれが最適なパスであることを認識していますが、提供されるサービスに影響を与える可能性があるため、SSLのオーバーヘッドを避けたいと考えています。 –
それでは、独自のセキュリティシステムを運用することは、あなたとあなたのクライアントが負担しなければならないコストになります。 –
はい、そうです。だからこそ私はこのことを決めるのに苦労しています。たぶん私はHTTPSを使用し、パフォーマンスが本当に影響を受ける場合は、私は再び考えます。助けてくれてありがとう、トム。 –