使用令牌的API身份验证
我在一个网站上工作,我不确定是否了解身份验证 我有一个带有外部API的网站,我的网站可以向我的API请求信息,以检索用户、文章等数据 此外,用户可以在我的网站上创建帐户,并要求API访问(当然对他的个人资料有一些限制)。因此,我的想法是在用户帐户中提供一个密钥/令牌,以允许它从API发送/检索他的数据。(例如Bugsnag、谷歌分析等服务)使用令牌的API身份验证,api,rest,oauth,rest-security,Api,Rest,Oauth,Rest Security,我在一个网站上工作,我不确定是否了解身份验证 我有一个带有外部API的网站,我的网站可以向我的API请求信息,以检索用户、文章等数据 此外,用户可以在我的网站上创建帐户,并要求API访问(当然对他的个人资料有一些限制)。因此,我的想法是在用户帐户中提供一个密钥/令牌,以允许它从API发送/检索他的数据。(例如Bugsnag、谷歌分析等服务) 这是“O-Auth 2”的工作吗?我的网站就像一个客户端,有一个密钥可以让他检索更多的数据(基本上范围更好) 如果用户添加了一个带有API令牌的Javas
- 这是“O-Auth 2”的工作吗?我的网站就像一个客户端,有一个密钥可以让他检索更多的数据(基本上范围更好)
- 如果用户添加了一个带有API令牌的Javascript脚本,那么是什么保护用户使其密钥/令牌被另一个用户从DOM中窃取的呢
构建于OAuth 2.0之上,并使用可以签名()和加密()的代码。只是为了更好地理解用户添加javascript的恐惧。您希望用户在哪里公开包含其秘密API令牌的公共javascript?你认为用户会出于什么目的这样做?你能举个例子吗?只是想更好地理解你对用户添加javascript的恐惧。您希望用户在哪里公开包含其秘密API令牌的公共javascript?你认为用户会出于什么目的这样做?你能举个例子吗?