Sto sviluppando un'API Web per un database utente che verrà utilizzato per verificare che una determinata combinazione nome utente / password sia valida.
Sto solo cercando commenti / critiche sul seguente metodo che sto pensando di usare:
- I record delle chiavi API sono memorizzati nel database
- Ogni record della chiave API è costituito da una chiave API pubblica e una chiave API privata
- I client API utilizzano la chiave API privata per salare l'hashing del nome utente / password specificato
- Nome utente, password e chiave API pubblica vengono inviati tramite la richiesta HTTP GET all'API per la convalida
- Viene restituito un codice di risposta personalizzato in base a ciò che accade sul server
È un modo sicuro di procedere? Qualsiasi consiglio è molto apprezzato.