使我的web api安全？

Question

我正在创建一个简单的web api，它返回json。

它将执行简单的crud操作。

什么是最好的方式来验证用户，OAuth似乎是这里的主要建议，但我正在寻找一种我可以简单地自己实现的东西，基于令牌或和API？？

任何想法和建议都会很棒，谢谢！

更新:忘了提一下，这个API不是给一般人用的，它只供我自己使用，但我想确保如果有人偶然发现它，他们不会太容易进入。

Answer 1

首先，为了构建一个好的API，你应该使用别人的API来看看他们是如何工作的。要进行RESTful，需要使用API密钥，它只是一个非常大的随机数或“加密随机数”。但实际上，这就像是查找用户身份验证信息的不朽会话id，这并不是很好。OAuth很棒，如果你想要自己的系统，它是非常安全的。

hijack json responses是可能的，这是json的一个缺陷。如果每个请求都需要API密钥，则攻击者不能使用此方法。