如何爲本地和遠程請求實現API安全性？

Question

我已經設置了一個基於web的API來允許遠程應用程序獲取/發佈數據。每個API調用都使用用戶ID和密碼進行驗證，該用戶ID和密碼使用只有遠程應用程序和網站才知道的密鑰加密。此認證不僅確保用戶可以訪問該API，而且還允許我根據用戶的配置文件實現安全功能（即用戶A可以看到項目A & B，但不能看到項目C）。

我希望我的服務器端網站頁面能夠通過AJAX調用遠程調用相同的API方法，但是，在代碼中存儲加密密碼看起來不正確，而且我的網站實現了一個「登錄爲」功能，這將不允許我設置加密密碼，因爲密碼不是以純文本格式存儲的。

對於不需要加密用戶密碼的遠程和「本地」調用實現API安全性的好方法是什麼？

Answer 1

您不應該在服務器端代碼中存儲用戶名和密碼。遲早有人會盯着你的代碼，你的數據會變得脆弱。

但你也不應該在客戶端代碼中存儲祕密（密鑰）。你不應該假設你的客戶可以信任保守這個祕密。

給予用戶對項目A和B（但不是C）的訪問稱爲授權，並取決於您是否知道誰調用了您的API（驗證）。

您應該仔細研究身份驗證協議，如OpenID Connect和授權協議，如OAuth 2.0。

另請參閱我對this問題的回答。