保护简单只读API的简单方法

Question

我为我们的数据库构建了一个简单的只读API，这样用户就可以从我们的数据库中检索数据。

例如，URL "http://xxxxx/getAllProfiles“将返回一个包含数据库中存储的所有配置文件的JSON结果。

该API是只读的，它仅通过一些“select”SQL查询实现。因此，用户不能通过API修改数据库中的任何数据。

我的公司担心API会被一些随机的在线机器人利用，并一直要求我为这个API构建一个安全机制。(它担心如果没有密钥或某些东西阻止任何人访问URL，我们的服务器将被访问太多。它是一台小型服务器。)

我可以使用PHP实现的最简单的安全机制是什么？(我们也在使用Slim作为应用程序接口，亚马逊EC2服务器上运行着Ubuntu和Apache，如果这有帮助的话。)优选地，它可以在不使用服务器或客户端上的任何数据库的情况下实现。

如果有什么不清楚的地方，请告诉我，我会澄清的。

谢谢。

Add:谢谢你的评论。有没有不使用数据库的方法？像是一种生成密钥或其他东西的聪明方法...我想我将提供一个页面，以便用户可以输入域，并且算法会将此域转换为密钥。然后，对于每个请求，用户都应该包括这个键。服务器将从请求头中获取域名，并使用相同的算法再次计算。如果两个计算出的密钥匹配，则接受该请求。我认为，至少在最低级别上，这确保了在开始时必须有人输入域并获得密钥，从而过滤掉一些随机的机器人？我不确定这是不是(完全)安全的？但在我看来，它可以过滤掉一些东西。

Answer 1

当我对web开发知之甚少的时候，我发了这个问题。保护REST API的方法有很多种，例如JWT、Cookie、Basic Auth等。