Вы должны использовать OAuth.
На самом деле есть две спецификации OAuth, версия с тремя ногами и версия с двумя ногами. 3-футовая версия - это та, которая получает большую часть внимания, и это не тот, который вы хотите использовать.
Хорошей новостью является то, что версия с 2-мя нотами делает именно то, что вы хотите, она позволяет приложению предоставлять доступ к другому через общий секретный ключ (очень похожий на модель веб-службы Amazon, вы будете использовать HMAC- SHA1) или через систему открытого/закрытого ключа (используйте метод подписи: RSA-SHA1). Плохая новость заключается в том, что она пока еще не поддерживается так же, как версия с тремя ногами, поэтому вам, возможно, придется немного поработать, чем вам в противном случае.
В принципе, OAuth 2-legged указывает только способ «подписать» (вычислить хэш) несколько полей, которые включают текущую дату, случайное число, называемое «nonce», и параметры вашего запроса. Это делает очень сложным, чтобы олицетворять запросы к вашему веб-сервису.
OAuth медленно, но верно становится общепринятым стандартом для такого рода вещей - вам будет лучше всего в долгосрочной перспективе, если вы примете его, потому что люди могут использовать различные библиотеки, доступные для этого.
Это более сложный, чем вы изначально хотели бы получить, но хорошая новость заключается в том, что многие люди потратили на это много времени, поэтому вы знаете, что ничего не забыли. Отличным примером является то, что в последнее время Twitter обнаружил разрыв в безопасности OAuth, который сообщество в настоящее время работает над закрытием. Если бы вы изобрели свою собственную систему, вам нужно все это выяснить самостоятельно.
Удачи вам!
Крис
HTTP-аутентификация по протоколу HTTPS. – Petah