RESTful API密钥建议

你知道Mashery http://www.mashery.com/和ProgrammableWeb吗？也许这些资源会有所帮助http://www.mashery.com/solution/collegeboard，以及http://www.3scale.net/。

我会使用API密钥来进行统计和限制，但也会像Google一样提供一些不需要API密钥的服务。

你可以使用像Restler http://luracast.com/products/restler/、Frapi http://getfrapi.com/和The Datatank http://thedatatank.com/这样的解决方案轻松创建API。
Services（仅适用于Drupal）http://drupal.org/project/services

还有一些：http://blog.programmableweb.com/2011/09/23/short-list-of-restful-api-frameworks-for-php/

我在上面的帖子中也回答了这个问题，但是空间不够了。作为免责声明，我为3scale（http://www.3scale.net）工作，所以您可能需要根据此解析我的回答 :)

你的问题的答案实际上取决于你的API公开的资源和你想要跟踪/限制什么。听起来大多数功能都与某种用户帐户绑定，但可以由第三方实现。

在这种情况下，最有用的模式可能是为调用API的每个应用程序设置一个标识符（公共或秘密）+用户凭据。应用程序标识符可以是APIKey，甚至只是一个名称（例如“tweetdeck”）。如果您最终有很多第三方应用程序，则跟踪这些标识符（这意味着至少有一种发行它们的方式）并知道谁构建了每个应用程序+具有关闭它们的能力（即使只是关闭滥用您的用户基础的应用程序），可能也很有用。您还可能希望评估限制每个用户和应用程序可以在API上生成的流量量，因此拥有标识符再次非常有用。

此外，如果您正在验证用户，但允许第三方编写您的用户使用的应用程序，请务必考虑oAuth（http://www.oauth.net），以避免恶意代码/站点捕获您的用户密码。

您在上面提到您不喜欢外部服务 - 没问题，3scale通过实际在您的系统中进行所有API身份验证（例如使用其中一个代码插件：https://support.3scale.net/libraries或在代理中像Varnish：https://github.com/3scale/libvmod-3scale/）然后在云中进行跟踪。显然，它并不适合所有用例，但可以为您提供一堆有用的工具。