我将公开一个简单的API,需要确保只有授权用户才能访问它。我将提供一个API密钥来进行身份验证。然而,我还想将API密钥与某个域相关联(这意味着,只有在授权域中使用它时,它才能工作)。
如果正在从授权域访问API,我如何检查它?HTTP_REFERER显然不可靠。建议?
您要公开哪种API?有许多不同种类的API-我假设您不会公开操作系统的API。。。
假设您想公开一些web应用程序的API,您可以查看OAuth(它基于回调URL)-您可以阻止通过回调URL调用某些域。
阅读有关OAuth的更多信息。
HTTP+SSL是一个复杂的协议集,支持服务器和客户端的证书,在这种情况下可能会使用,但不知何故,我觉得这太过分了。