Я полагал, что на это был дан ответ раньше, но быстрый SO search ничего не принес.Безопасный доступ к данным для API RESTful
У меня есть частный API, который заблокирован APIKey. Этот ключ необходимо передать для каждого запроса. С помощью этого ключа вы можете получить доступ к любой части API. Очевидно, это довольно открыть. По большей части это приемлемо. Однако есть случаи, когда я хочу убедиться, что запрос отправлен владельцем данных.
Например, или удалить запрос. Вы не сможете сделать этот запрос для чужих данных. Поэтому в дополнение к APIKey, я хотел бы иметь что-то еще, чтобы убедиться, что этот пользователь, делающий запрос, разрешил выполнить это действие.
Я мог бы потребовать, чтобы ownerID был отправлен с таким запросом. Но это быстро подделано. Так что я получил.
Мне интересно узнать, какие другие члены SO реализованы в этих ситуациях. Индивидуальные APIKeys? Двойная авторизация?
Если это имеет значение, мой API следует архитектуре REST и разработан с использованием PHP/Apache.
Можете ли вы уточнить токен * обновления. –
https://tools.ietf.org/html/draft-ietf-oauth-v2-23#section-1.5 – abraham