Ho letto molte considerazioni sulla sicurezza dell'API, le differenze di terminologia, OAUTH, OpenID, ecc. Benché comprenda la loro assoluta necessità quando si tratta di proteggere un'API in modo corretto, mi trovo di fronte al mio (forse ingenuo ) visione di come potrebbero essere le cose. Speravo che potessi dirmi quanto sono sbagliato o giusto e indirizzarmi nella giusta direzione. Sarebbe certamente apprezzato.
Quindi, che cosa esattamente è stato chiesto di fare? - La società per cui lavoro, denominata Azienda X, ha molti dati memorizzati internamente . Ora abbiamo finalmente un db PostgreSQL esterno e un server web che utilizza Amazon EC2. Funziona molto bene Ora, utilizzo Slim Framework per creare percorsi, gestire richieste GET / POST / PUT / DELETE, inviare query usando PDO e così via. Ora sono arrivato al punto in cui l'azienda X mi chiede come i loro clienti saranno in grado di comunicare con l'API. Ora ovviamente non potrei concedere l'accesso a tutti, quindi inizialmente pensavo a una chiave API per client. Ho usato Instagram e altre API simili e sembrano funzionare in modo simile. Tuttavia, sono anche leggendo che "le chiavi API non sono sufficienti". Posso capire perché questo metodo può essere troppo semplicistico per una delicata questione di scambio di informazioni, ma non so se le altre opzioni sono STRATEGIE complesse per gli obiettivi che sto affrontando.
Quindi, di nuovo per essere chiari, ciò che vorrei realizzare è il seguente compito: voglio che gli utenti OTTIENI (diciamo) le note dal nostro server, voglio che siano in grado di prendere appunti POST, aggiornarli ed eliminarli pure.
La mia domanda è come posso farlo in un modo sicuro , senza doverti immergere in dozzine di documenti di protocollo. Certo, se questa è la via da seguire, allora sono sicuro che potrebbero esserci altri modi per dimostrarsi altrettanto sicuri.
Grazie per la lettura e soprattutto se decidi di aiutarmi o almeno di dirmi quanto mi allontano dal pensare con il giusto stato d'animo. : -)