我一直在阅读REST,关于它,以及很多其他网站和博客都有很多问题.虽然我从来没有见过这个具体的问题...出于某种原因,我无法围绕这个概念进行思考......
如果我正在构建RESTful API,并且我想要保护它,我看到的方法之一是使用安全令牌.当我使用其他API时,有一个令牌和共享秘密......这是有道理的.我不明白的是,对休息服务操作的请求是通过javascript(XHR/Ajax)进行的,这是为了防止有人用FireBug(或浏览器中的"查看源代码")这样简单的东西来嗅出它复制API密钥,然后使用密钥和密钥冒充该人?
有几个Web服务API可以注册API密钥.例如,UPS Web服务需要一个密钥,该密钥包含在对其服务的调用中 - 除了用户名和密码.
提供商使用的密钥是什么?也许UPS是唯一同时需要API密钥和用户名/密码的人?
一个想法是他们使用它来限制或衡量API的使用,但在我看来,用户配置文件中的设置可以轻松地做同样的事情 - 特别是因为你通常需要获得一个帐户w /用户名和密码才能获得首先是API.