PHP：验证我的 REST 应用程序

Question

我一直在研究使我的 REST 应用程序更加安全的方法。 HTTP 基本身份验证似乎是一种方法，但需要在每次请求时在客户端和服务器之间传送用户名+密码。如果我使用 curl 但使用 Javascript 文件，可以正常工作吗？不太酷。

我最近发现并阅读了有关 Digest HTTP 身份验证的信息，这似乎比 HTTP Basic 提供的安全性迈出了一大步，尽管理解起来要复杂得多，但我仍然没有完全诚实。

我看过这个问题，它的答案可以了解专业人士和使用摘要方法有缺点，但似乎我想得越多，事情就越混乱。

似乎已经有很多可用的解决方案可以解决这个问题，但其中大多数已经存在近 10 年了。

Digest 方法是否是一种恐龙，最好将其留在黑暗中，以采用另一种更新的方法来保护请求，或者是否有任何好的现有 Digest 库可用？

Answer 1

您是否考虑过使用 HTTPS？您真正需要的是域的签名安全证书，并签入您的代码以确保它以这种方式连接。它将以这种方式使用 SSL，服务器和浏览器将自动对来回发送的数据进行加密，并对所有通信使用三向握手。

Answer 2

您可以研究 Facebook 和 Twitter 等流行 API 使用的不同身份验证技术，这些 API 使用 OAuth 方法验证。

其他 API（例如 Google 地图 (v2) 和 Bitly）允许您使用 URL 中的 API 密钥访问其 API。因此，每个用户都有一个可在请求中使用的 API 密钥，例如 http://api.domain.com/ get?key=supersecureapikey

这两种方法都非常出色，并且在整个网络中广泛使用，只有直接从 javascript 访问 API 才会暴露 API 密钥/密码。解决这个问题的一个选项（我使用的选项）是让 javascript 调用服务器上的一个文件，该文件在服务器端执行 API 调用，从而保证密钥/密码[更多]的安全。