我有一个具有“私有(private)”REST API 的应用程序;从我自己的网页进行 Ajax 调用时,我使用 RESTful URL。但是,这是不安全的,任何人如果知道 URL 模式,都可以进行相同的调用。
保护这些调用的最佳(或标准)方法是什么?如果我打算在未来发布 API,现在是否值得研究像 OAuth 这样的东西,或者我是否混合了两种不同的策略一起?
我正在使用适用于 Python 和 Tipfy 的 Google App Engine。
最佳答案
一定要看看OAuth
它正迅速成为保护 REST API 的“事实”标准,许多大公司都在使用它,包括 Google , Twitter和 Facebook仅举几例。
对于 GAE 上的 Python,您有两个选择:
最直接的方法(恕我直言)是使用 David Larlet 的库 OAuth Support in Django在 BitBucket 上可用。
但由于您没有使用 Django,也许您想看看 python-oauth2在 GitHub 上可用的库,被认为是适用于 Python 2.4+ 的最新且经过单元测试的 OAuth 实现。
无论哪种方式,我认为使用 OAuth 比推出自己的服务安全解决方案要好得多。
关于python - 如何保护我在应用程序内进行的 REST 调用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6091784/