OAuth(訪問令牌)與 API 密鑰
[英]OAuth (Access Token) Vs API Key
問題描述
我遇到了很多文章,很多文章都建議在 API 密鑰上使用 OAuth。 據我了解,在 OAuth 中,我們終於獲得了訪問令牌,它的有效期為很多天。 例如,QuickBooks 在線 OAuth 令牌的有效期為 6 個月。
因此,訪問令牌相當於 API Key。 無論誰得到它,它都應該像 API 密鑰一樣安全。 OAuth 調用應該通過 HTTPS 進行,類似於基於 API 密鑰的調用。
與 OAuth 相比的另一個優勢是授權。 但是我們可以對 API Key 模型做同樣的事情。 例如,我們可以在我們的數據庫中定義規則,就像這些API 密鑰可以訪問這些API 。
現在,OAuth 的真正優勢是什么? 如果我們實施 OAuth,我們必須要求我們所有的客戶在他們的服務器中安裝 OAuth 支持庫。 這對他們和我們來說都是一項復雜的任務。 而在 API Key 模型中,它是一個簡單的網絡調用,沒有其他額外的庫和復雜性。
我的目的只是為了更好地理解 OAuth,而不是與 API Key 模型進行比較和爭論。
注意:
我不是在談論 Google 和 LinkedIn 那種用戶必須查看並授予權限的模型。 我只是在談論我們提供給我們自己的客戶的 API。
提前感謝您的幫助。
2 個解決方案
解決方案1
34 已采納 2016-06-27 12:43:43
僅當您希望服務的用戶允許第三方客戶端應用程序訪問他/她托管在您的服務中的數據而不向應用程序透露他/她的憑據(ID 和密碼)時,才需要 OAuth。
一對 API 密鑰和 API 秘密可以做的只是客戶端應用程序的身份驗證。 如果您可以允許經過身份驗證的客戶端應用程序在未經用戶明確同意的情況下訪問用戶數據,則您不必使用 OAuth。
解決方案2
3 2021-01-21 16:06:29
API 密鑰用於項目/服務,而令牌用於驗證用戶。 遇到了一個很好的解釋。 何時以及為何使用 API 密鑰
使用現有的訪問令牌和訪問令牌密鑰進行Oauth API調用
[英]Make Oauth API calls with existing Access Token and Access Token Secret
使用OAuth 2.0和Python請求檢索Yahoo API的訪問令牌
[英]Retrieve access token for Yahoo API using OAuth 2.0 and Python requests
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Unsplash API OAuth 錯誤:訪問令牌無效
Soundcloud API訪問令牌(Oauth2)
使用現有的訪問令牌和訪問令牌密鑰進行Oauth API調用
OAuth 2 access_token 與 OpenId Connect id_token
通過OAuth訪問Google API密鑰
API請求的訪問令牌與用戶名/密碼
在C#中使用OAuth從api接收訪問令牌
LinkedIn API“空oauth2訪問令牌”錯誤
使用OAuth 2.0和Python請求檢索Yahoo API的訪問令牌
獲得訪問令牌的Soundcloud(Oauth2)API失敗
相關標簽