我有一个简单的Web服务,允许第三方开发者访问API。该API大多遵循REST原则。
我对使API更加安全的解决方案感兴趣,需要开发者使用客户端证书。是否有任何开源解决方案或其他实现建议可以帮助使用用户级证书进行身份验证的基于REST的API?
2个回答
3
我的一般建议是将API与身份验证程序分开。您的Web服务器应该为您处理交互。
客户端证书方案的解决方案取决于您的环境。您没有在此处发布,但似乎有针对性的谷歌搜索应该让您了解所需内容。
由于您向其他方提供API,因此需要考虑这些开发人员的环境支持。您正在使用REST作为基础,并且大多数编程环境都将很好地进行交互。
客户端证书支持可能会因环境、平台等支持效率而异。此外,当您需要证书时,您现在正在影响客户端实现。这几乎肯定会使您处于需要支持客户并使其运行API的位置。这意味着熟悉其他语言、Web服务器、框架等。
- jro
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接