Безопасно ли получать ключ API в строке запроса?

Question

Я создаю API и хочу, чтобы другие пользователи могли иметь к нему доступ.Моя реализация состоит в том, чтобы получить ключ API и «пароль» API из строки запроса и использовать их для определения, является ли пользователь действительным пользователем нашего сайта.

domain.com / api /? Api_key = theapikey & api_password =thepasswordhere

Я не знаком с безопасностью, но это безопасный способ сделать это?Или есть более безопасные способы сделать это?

Answer 1

a) Вы должны использовать POST вместо GET, тогда как GET - это метод, который вы в настоящее время описываете (когда данные находятся в поле адреса. Вы получаете значения POST, выбирая метод POST из форм веб-приложения IE:

<FORM action="http://domain.com/api" method="post">

b) Это несколько более безопасно, но больше безопасности воспринимается с помощью туннеля https, вы получаете это, устанавливая проверенный ключ безопасности на свой веб-сервер и используя https вместо http.

Пример для apache: http://www.digicert.com/ssl-certificate-installation-apache.htm

Надеюсь, что выручил:)

Answer 2

Рекомендую передать его в шапку. Вам понадобится что-то вроде curl или postman для его вызова, что подходит для большинства ключей API, предназначенных для интеграции приложений.

Если вы хотите, чтобы пользователи просматривали его в браузере, вам потребуется экран входа в систему. Это может быть сохранено как cookie, чтобы будущие запросы не всегда вызывали логин.

Answer 3

Это небезопасно, нет, есть более безопасные способы, да, посмотрите на OAuth . Вероятно, вы сможете найти некоторые вспомогательные библиотеки на своем языке.