私は認証されたユーザーがデータを提出して編集できるウェブサイトを持っています。有料サービスの一部としてREST APIを提供したいと考えています。 ここで問題となるのは、有料のユーザーが理論的には、私のウェブサイトが認証用のAPIとして使用している同じコールを外部アプリケーションから送信することができるということです。ウェブサイトに送信されます。外部アプリにAPIを強制的に使用させる
ウェブサイトをこのような使用から保護し、ユーザーに外部アクセス用にAPIを使用させるにはどうすればよいですか?
実際には、パブリックAPIへのリクエストを人々が防ぐことはできません。要求が到着したときにユーザーを検証するだけで済みます。したがって、この問題を解決するための複数のアプローチがあります。
ユーザーごとにセッションごとにトークンを提供し、残りのAPIリクエストをバックエンドで検証します。
OAuth2を使用してください。あなたは有料の秘密のIDと鍵を渡します。そして、秘密のIDと鍵を使ってAPIにアクセスするアクセストークンを要求します。公開鍵/秘密鍵暗号について
読むhttps://en.wikipedia.org/wiki/Public-key_cryptography
のOAuth についての記事を読むhttps://oauth.net/2/
私はlaravelでのOAuth2を実装するためにパスポートを使用しています。パスポートはoAuth2実装であり、他の言語でも利用できます。
APIで個々のユーザーを認証できます。トークン/ユーザー名とパスワードを使用してアクセスさせる。 – samiles