繁体 English 中英

为什么 API 使用短期 API 密钥？

[英]Why do API's use a short term API key?

原文 2022-12-21 17:50:50 0 1 api-design

我用过的大多数 API 都有一个端点，您可以在端点输入密码并取回 API 密钥以用于 API 的其余部分，持续一个小时左右。 为什么认为这比直接使用数据密码更安全？

使用短寿命密钥的主要原因是在密钥泄漏的情况下最大限度地减少损坏。

有人可能会问——如果密钥泄露了，我们为什么不直接停用它呢？ 通常这是关于在 api 层中验证密钥的方式。

验证密钥的方法主要有两种：a) 请求接收者可以要求中央机构验证密钥或 b) 请求接收者可以在本地验证密钥。

第一种方法（中央权威）很好——可以在那里将一个键标记为“不活动”； 但该方法在重负载下表现不佳——因为每个 api 请求都会导致对授权系统的调用。

第二种方法，使用本地检查，更具可扩展性。 它（通常）通过确保 api 密钥是加密的数据结构来实现，并且请求接收者知道如何在本地解密它并运行所有检查（如过期）。

虽然第二种方法扩展性很好，但没有可靠的方法来召回有问题的 api 密钥。 因此，最小化密钥的生存时间也可以最小化影响。

[英]How to use REST API's

[英]why use dot notation api endpoints?

[英]Do applications use API to create a GUI?

[英]How do sites have login api's without file extensions?

[英]Is it a bad idea to use a database table's ID as an external API identifier?

[英]Do backend web service API's have a view as in MVC?

[英]AWS API Gateway: API Key Limit

[英]Why use URL parameters over request body in API?

[英]Why does the GitHub API use a PUT request for starring a repository?

[英]Similar Endpoints on multiple API's

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何使用REST API 为什么要使用点符号api端点？应用程序是否使用API创建GUI？网站如何使用没有文件扩展名的登录API？使用数据库表的ID作为外部API标识符是一个坏主意吗？后端Web服务API是否具有MVC中的视图？ AWS API 网关：API 密钥限制为什么要在API的请求正文中使用URL参数？为什么 GitHub API 使用 PUT 请求为存储库加注星标？多个API上的类似端点

相关标签