在构建了一个相当简单的 API 之后,我开始研究身份验证,其中仅使用用户名/密码组合的基于 SSL 的基本 HTTP 身份验证对于使用它的人来说可能显得很弱,尽管这里的各种讨论表明它应该没问题。
在这种情况下,我研究了类似解决方案中的 API,这些解决方案为用户提供用户 ID 和 API key 。问题是我根本看不出这有什么更强的。我假设 key 仍然与密码一样保存,从我的角度来看,他们似乎将密码称为 key 。
例子:
&api_key=hiperz_api_key&gs_id=3873
args 如何提供比用户名密码更进一步的安全性?我绝对想实现一些比仅用户/传递基本 HTTP 身份验证更强大的东西,并为最终用户提供某种类型的 token / key 以用于访问,但我没有看到这种方法的额外优势。
最佳答案
好吧,总有两步验证可以完成(通过向他们的手机发送消息......或者可能给每个用户一个随机生成的代码来填充)。此外,您可以创建自己的加密机制并将其添加到网页的功能中。例如,您可以使用自己制作的加密 key 加密数据,然后当它到达您想要的位置时,您只知道 key ,因此您可以解密它。
关于php - HTTP 基本身份验证与 key ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32533154/