Внедрение связи ключа API

Question

Я сейчас разрабатываю коммуникацию клиент-сервер только для учебных целей.

Со стороны сервера находится сервер php restful и приложение js hb-клиента клиента.

Основная идея:

• после успешного входа в систему, сервер генерирует уникальный ключ API, хранить его в БД и истекает через некоторое время бездействия аккаунта
• клиент получит этот ключ и идентификатор пользователя сохраните его в безопасном печенье и использовать его при каждом запросе
• если ключи совпадают, сервер будет обрабатывать запрос
• все коммуникации находится на HTTPS

Этот процесс безопасен или что вы предложите?

И я действительно не хочу идти с Оутом.

Answer 1

Пока я создал ссылку для авторизации на основе токенов API, расположенной here.

Что-то я делаю в одном из проектов.

1. Сгенерирована регистрация пользователей и ключ API.
2. Пользователь сохраняет ключ API в локальном хранилище или защищенном файле cookie.
3. Для доступа к API он должен обменять ключ API на токен доступа. Он отправляет запрос конечной точке и сопоставляется с идентификаторами userId и apiKey, выдается маркер доступа HMAC-баз.
4. Все запросы API требуют доступа к токену, переданному либо параметром запроса access_token, либо значением token в cookie.

Все, что необходимо для работы с SSL.