簡體 English 中英

為什么 API 使用短期 API 密鑰？

[英]Why do API's use a short term API key?

原文 2022-12-21 17:50:50 2 1 api-design

我用過的大多數 API 都有一個端點，您可以在端點輸入密碼並取回 API 密鑰以用於 API 的其余部分，持續一個小時左右。 為什么認為這比直接使用數據密碼更安全？

使用短壽命密鑰的主要原因是在密鑰泄漏的情況下最大限度地減少損壞。

有人可能會問——如果密鑰泄露了，我們為什么不直接停用它呢？ 通常這是關於在 api 層中驗證密鑰的方式。

驗證密鑰的方法主要有兩種：a) 請求接收者可以要求中央機構驗證密鑰或 b) 請求接收者可以在本地驗證密鑰。

第一種方法（中央權威）很好——可以在那里將一個鍵標記為“不活動”； 但該方法在重負載下表現不佳——因為每個 api 請求都會導致對授權系統的調用。

第二種方法，使用本地檢查，更具可擴展性。 它（通常）通過確保 api 密鑰是加密的數據結構來實現，並且請求接收者知道如何在本地解密它並運行所有檢查（如過期）。

雖然第二種方法擴展性很好，但沒有可靠的方法來召回有問題的 api 密鑰。 因此，最小化密鑰的生存時間也可以最小化影響。

[英]How to use REST API's

[英]why use dot notation api endpoints?

[英]Do applications use API to create a GUI?

[英]How do sites have login api's without file extensions?

[英]Is it a bad idea to use a database table's ID as an external API identifier?

[英]Do backend web service API's have a view as in MVC?

[英]AWS API Gateway: API Key Limit

[英]Why use URL parameters over request body in API?

[英]Why does the GitHub API use a PUT request for starring a repository?

[英]Similar Endpoints on multiple API's

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何使用REST API 為什么要使用點符號api端點？應用程序是否使用API創建GUI？網站如何使用沒有文件擴展名的登錄API？使用數據庫表的ID作為外部API標識符是一個壞主意嗎？后端Web服務API是否具有MVC中的視圖？ AWS API 網關：API 密鑰限制為什么要在API的請求正文中使用URL參數？為什么 GitHub API 使用 PUT 請求為存儲庫加注星標？多個API上的類似端點

相關標簽