我创建了一个小型愿望清单项目。
我不想为拥有API密钥的用户提供API。
我的Web服务器运行在TLS(HTTPS)上。用户在http头中发送api密钥是否安全?
curl -H "Authorization: api_key MY_APP_API_KEY" https://myapp.example.com
否则,我应该使用什么?
我不想使用OAuth2,它对于我的小项目来说太复杂了。
是的,它非常安全。。HTTPS加密所有消息内容,包括HTTP标头和请求/响应数据。
这是Web产品吗?
如果是,请记住您的MY_APP_API_KEY将在浏览器中完全可用。
如果它是一个Web产品,也许可以考虑一个简单的替代方案,比如https://pay2my.app登录(我参与了OSS项目)?用户登录浏览器端并向服务器发送他们自己的令牌+签名:服务器只是验证这一点。
否则,你已经可以按照第一个答案去做了。