我们的API(由第三方交付)正在使用令牌,以确保仅授权访问。我们的新网站不应是服务器到服务器,而是主要的前端,即在脚本中可以看到令牌。现在,我们正在检查如何为前端网站保护API,我必须向老板提出方法。但是,我从来不必使用API固定做点事,您能告诉我在哪里阅读/最先进的解决方案来帮助我?
我已经开始研究Oauth1a,Oauth2,OpenID,但仍无法(但)确实有一个方向进行进一步调查。
您仍然应该使用令牌,但是您必须确保令牌不授予您对API的完全访问。
令牌需要特定于使用该应用程序的用户,而令牌只能允许API访问用户可以执行的特定功能。
目前,我会忽略OAuth1和OpenID,并且唯一看OAuth2。那里有足够的功能可以做您想做的事,它比其余的要简单。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium