如何设计API接口,请求接口时需要进行身份验证,防止第三方随意调用接口?

接口是放在公网中使用,不想随意被第三方使用。参考了OAuth2.0的简化模式(implicitgranttype)设计了下面的方法。接口使用方法:1.接口调用者先申请分配... 接口是放在公网中使用,不想随意被第三方使用。

参考了OAuth2.0的简化模式(implicit grant type)设计了下面的方法。
接口使用方法:
1.接口调用者先申请分配一个clientid,clientsecret,并提供给接口提供者(服务器)一个可访问的callbackURL(用于接口access_token)。
2.接口调用者使用clientid, clientsecret作为参数,向接口提供者发送请求。
接口提供者访问callbackURL发送access_token(有时间限制,超时后重新获取)。
3.接口调用者使用access_token作为参数,调用其他接口获取相关信息。
4.接口调用者在access_token超时后重新获取access_token。

有个疑问:
仅为了防止非法用户随意使用接口,需要这个复杂的机制吗?
接口使用https连接,可以确保数据保密性。
所以是否可以简化上面的流程,仅在接口服务者中配置一个 access_token,
接口使用者只需要提供正确的access_token即可正常使用其他接口。
展开
 我来答
lushwong
高粉答主

推荐于2017-04-13 · 醉心答题,欢迎关注
知道顶级答主
回答量:3.6万
采纳率:94%
帮助的人:5454万
展开全部
1. 设定一个密钥比如key = ‘2323dsfadfewrasa3434'。
2. 这个key 只有发送方和接收方知道。
3. 调用时,发送方,组合各个参数用密钥 key按照一定的规则(各种排序,MD5,ip等)生成一个access_key。一起post提交到API接口。
4. 接收方拿到post过来的参数以及这个access_key。也和发送一样,用密钥key 对各个参数进行一样的规则(各种排序,MD5,ip等)也生成一个access_key2。
5. 对比access_key 和access_key2 。一样。则允许操作,不一样,报错返回或者加入黑名单。
吗管嘞4183
2016-04-13 · TA获得超过236个赞
知道答主
回答量:112
采纳率:0%
帮助的人:103万
展开全部
可以考虑rsa加密方式,公钥加密、私钥解密。
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式