2
我期待在建設一個API,並正在考慮的OAuth管理訪問API,但我在做什麼更多的是B2B系統,使企業能夠訪問數據納入其網站。一開始我不會有任何b2c。你如何管理API密鑰
所以OAuth的似乎不是適合我的工具,我一直在尋找關於構建基於關鍵系統資源,但整個事情還沒有來。
已經有東西可用了嗎? 最好只是創建一些用戶提交的數據或類似的哈希?
A
回答
2
你需要的僅僅是一些唯一標識用戶...只是使用UUID或者一個UUID的哈希值。
只要確保這個ID是經過安全通道,如果你通過它在不安全的通道可能需要確保實現類似於HTTP的ID摘要身份驗證的一些方法。
0
我不會只使用用戶提交的數據,因爲這可能會造成API密鑰可猜測的情況。通常,我接收用戶生成的一些數據,然後將它與一些相對唯一的數據(即當前系統時間)和使用SHA-1或其他內容的散列組合在一起,如果我不希望它顯然是一個SHA-1哈希,然後用它作爲關鍵。
1
看看幾乎所有的Web 2.0網站/服務。他們都有不同程度的認證和管理API密鑰。的Flickr,Twitter的,Github上,等
1
根據要求,在網頁API的世界,讓你的合作伙伴/開發人員API密鑰(標識),並要求他們簽署的調用(認證)是非常標準。有很多方法來規範簽名。現在很常見的是;採取所有呼叫參數,時間戳(+/- 5分鐘擺動),共享祕密,並使用SHA-1或MD5(SHA-1更好)對其進行哈希處理。
您可以自己實施或找到合作伙伴(有幾個)爲您做。
1
的一般方法在這裏被提出(使用哈希其中包括API密鑰和當前時間)都是不錯的 - 肯定比包括消息的「密碼」更好。
但是,有一種加密標準方式來執行稱爲HMAC的這種「mung」操作。如果你想要更標準/健壯/安全的東西,那麼值得一看。
最後顯然是來自安全選項的「黃金標準」 - 使用數字證書籤署所有請求(可能在計算上很昂貴)或用於簽署初始請求,然後生成限制使用會話密鑰(例如,一個僅限API,60分鐘後到期)。
或者,您可以對傳輸層使用雙向SSL,並簡單地相信應用程序/ API中的SSL。
真的取決於你如何安全的希望...:]
相關問題
- 1. 管理Google Maps API密鑰
- 2. Azure API管理密鑰
- 3. 許可證密鑰管理
- 4. 實現DUKPT密鑰管理
- 5. 在android中保護你的api密鑰
- 6. 密鑰庫的密碼管理
- 7. 數據加密和密鑰管理
- 8. 管理加密密鑰的好方法?
- 9. 如何通過API密鑰
- 10. 如何將密鑰從系統管理員保密?
- 11. 如何管理java中的祕密密鑰
- 12. 密鑰保管庫密鑰與祕密
- 13. YouTubePlayer - 如何隱藏/加密API密鑰?
- 14. 如何處理ssh密鑰?
- 15. Google雲密鑰管理 - 密鑰的冗餘存儲
- 16. 管理與搖籃谷歌地圖API密鑰Android Studio中
- 17. 在ASP.NET中管理多種第三方API密鑰
- 18. Azure API管理 - 應用程序的訂閱密鑰?
- 19. Github API v3 - 管理部署密鑰所需的權限?
- 20. WSO2將API Manager連接到Identity Server以進行密鑰管理
- 21. 如何使用捲曲與API密鑰和API祕密檢查許可密鑰
- 22. 如何獲得的祕密你的面料API密鑰或內部gradle.properties文件
- 23. Soundcloud API密鑰
- 24. RingCentral API密鑰
- 25. 你如何管理你的Eclipse安裝?
- 26. 在Jenkins中爲Git管理SSH密鑰
- 27. 雲環境中的密鑰庫管理
- 28. Windows Azure中的密鑰管理
- 29. 密鑰管理:公共/下屬鍵
- 30. 管理緩存的唯一密鑰?
正確的,但看着這些服務是不是真的給太多的指示有關管理密鑰和身份驗證(不,我反正可以辨認)。 – pedalpete 2008-12-31 23:26:47