Сделать мой веб-API безопасным?

Question

Я создаю простой веб-API, который возвращает JSON.

Он будет выполнять простые операции.

Каков наилучший способ аутентификации пользователей, OAuth кажется основной рекомендацией здесь, но я ищу что-то, что я могу реализовать сам, на основе токенов или и ключ API ??

Любые идеи, советы, подсказки, было бы здорово, спасибо

ОБНОВЛЕНИЕ: Забыл упомянуть, что этот API не предназначен для общего потребления, он только для моего собственного использования, но я хочу убедиться, что кто-то не может войти слишком легко, если он наткнется на него.

Answer 1

Прежде всего, чтобы создать хороший API, вы должны использовать API других людей, чтобы увидеть, как они работают. Чтобы быть RESTful, используется ключ API, который представляет собой просто действительно большое случайное число или «криптографический одноразовый номер». Но на самом деле это похоже на бессмертный идентификатор сеанса для поиска информации об аутентификации пользователей, что не так уж и здорово. OAuth отлично, если вы хотите, чтобы ваша собственная система Kerberos была очень безопасной.

Возможно угнать ответы json , что является ловушкой против json. Если ключ API требуется для каждого запроса, злоумышленник не может использовать этот метод.