Api认证方法

Question

我创建了一个小愿望清单项目。

我不想为有API密钥的用户提供API。

我的TLS服务器运行在TLS (HTTPS)上。对于用户来说，在http头中发送api密钥是安全的吗？

curl -H "Authorization: api_key MY_APP_API_KEY" https://myapp.example.com

否则，我应该使用什么？

我不想使用OAuth2，这对我的小项目来说太复杂了。

Answer 1

是的，非常安全。HTTPS加密所有消息内容，包括HTTP头和请求/响应数据。

Answer 2

这是网络产品吗？

如果是这样的话，请记住您的MY_APP_API_KEY将在浏览器中完全可用。

如果它是一个网络产品，也许可以考虑一个简单的替代方案，比如登录https://pay2my.app (我参与了那个开放源码软件项目)？用户登录浏览器端并向服务器发送自己的令牌+签名:服务器刚刚验证了这一点。

否则，你已经可以按照第一个答案去做了。