[英]Why do API's use a short term API key?
我用过的大多数 API 都有一个端点,您可以在端点输入密码并取回 API 密钥以用于 API 的其余部分,持续一个小时左右。 为什么认为这比直接使用数据密码更安全?
使用短寿命密钥的主要原因是在密钥泄漏的情况下最大限度地减少损坏。
有人可能会问——如果密钥泄露了,我们为什么不直接停用它呢? 通常这是关于在 api 层中验证密钥的方式。
验证密钥的方法主要有两种:a) 请求接收者可以要求中央机构验证密钥或 b) 请求接收者可以在本地验证密钥。
第一种方法(中央权威)很好——可以在那里将一个键标记为“不活动”; 但该方法在重负载下表现不佳——因为每个 api 请求都会导致对授权系统的调用。
第二种方法,使用本地检查,更具可扩展性。 它(通常)通过确保 api 密钥是加密的数据结构来实现,并且请求接收者知道如何在本地解密它并运行所有检查(如过期)。
虽然第二种方法扩展性很好,但没有可靠的方法来召回有问题的 api 密钥。 因此,最小化密钥的生存时间也可以最小化影响。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.