После создания довольно простого API я начал изучать аутентификацию, при которой базовая HTTP-аутентификация через SSL с использованием только комбинации имени пользователя и пароля может показаться слабой для того, кто ее использует, хотя различные обсуждения здесь предполагают, что это должно быть нормально.
В этом случае я изучил API из аналогичных решений, которые вместо этого предоставляют своим пользователям идентификатор пользователя и ключ API. Проблема в том, что я не понимаю, насколько это вообще сильнее. Я предполагаю, что ключ по-прежнему сохраняется точно так же, как и пароль, тогда как с моей точки зрения это выглядит так, как будто они называют пароль ключом.
Пример:
Как &api_key=hiperz_api_key&gs_id=3873
args предлагает дополнительную безопасность, помимо пароля имени пользователя? Я определенно хотел бы реализовать что-то более сильное, чем просто пользовательская / проходная базовая HTTP-аутентификация, и предоставить конечному пользователю какой-либо тип токена / ключа для использования для доступа, но я не вижу дополнительной силы в таких подходах.