Codeigniter Phil Sturgeon和API密钥，最好的方法是什么？

我试图利用Phil Sturgeon（Codeigniter RestServer）的出色工作为我提供服务

我计划使用此工作流：

client-->客户端使用凭据连接到我的服务
服务器发送请求以获取标头中包含新api密钥的个人信息
在标头中使用新api密钥处理另一个请求
服务器您不应该使用库中使用的X-API-KEY执行此操作。密钥的用途是对您已列入白名单以访问API的应用程序进行身份验证

在您的情况下，您要做的是让您的应用程序生成一个身份验证令牌并将其返回给客户端。然后，客户端应该使用auth令牌发出请求

应使用X-API-KEY验证请求是否来自白名单上的“客户机”。以下是流程的外观：

客户端-->客户端使用凭据和x-api-key连接到您的服务

服务器发送请求以使用身份验证令牌获取个人信息

服务器另一个带有身份验证令牌的请求

服务器您到底需要什么帮助？我需要知道我是否可以用Phil sturgeon的RestServer实现来实现这一点，或者我是否计划自己进行密钥管理（终身）。在Phil Sturgeon的实现中，我如何为帐户分配密钥？在服务器允许访问之前，如何检查密钥的生存期？我的工作流程是最好的解决方案吗？谢谢api密钥的生存期用于防止网络嗅探。