用於內部消費和身份驗證的REST API

Question

當我使用來自Web應用程序的公共API時，我在我的客戶端中使用了一個API密鑰作爲字符串。

現在假設我爲內部消耗設計了一個REST API。我們來說說一個移動應用商店。 eshop的用戶使用用戶名和密碼登錄。

這是否意味着我的客戶端不會使用API​​密鑰身份驗證，而是使用用戶名和密碼？我還在REST API中看到了很多OAuth2，這似乎也是一種面向密鑰的身份驗證。他們只是不同的類型，所有有效的？ API密鑰通常是爲開發人員發佈的，但可以與客戶合作嗎？

Answer 1

它可以工作，這也是你會在很多情況下看到的。您使用用戶名和密碼（POST請求）登錄，服務器將返回一個身份驗證令牌，您可以通過頭文件或JavaScript分別將其存儲在Cookie或本地存儲中。當需要用戶特定信息時，您將使用該令牌進行身份驗證，類似於OAuth2和開發密鑰的工作方式。

Answer 2

根據我對你的問題的理解 -

有你如何能驗證API的方法或途徑。一些常見的是通過Oauth，令牌認證和基本認證（用戶名和密碼）。

你可以閱讀這裏的一些概念 - http://www.django-rest-framework.org/api-guide/authentication/

希望這有助於