Protezione di un'API di riposo con un client

Per esperienza personale, potrebbe essere più semplice implementare una chiave di volta con una chiave che invii solo a un utente, contro l'utilizzo del metodo di autenticazione nome utente / password, a parte il fatto che non sono sicuro di cos'altro avresti preoccuparsi di. Forse c'è un modo per combinare entrambi i modi, ma le API sono solitamente configurate in modo che più client possano sfruttare la funzionalità, quindi una chiave potrebbe essere il modo più semplice per limitarla a un singolo utente.

Puoi utilizzare l'autenticazione X.509 e fare affidamento sull'autenticazione reciproca (il server ti autentica e tu autentica il server).

Anche se questa domanda ha avuto risposta, il flusso delle credenziali del client OpenID Connect è un modo perfetto per proteggere la tua API con una chiave. Questo flusso è specificamente pensato per i clienti che non sono effettivamente utenti, come API e altri processi di sistema, e non richiede alcun intervento da parte dell'utente. Ciò consente di espandersi facilmente a più clienti, ciascuno con le proprie chiavi e autorizzazioni di accesso esclusive, oltre a consentire all'utente di mescolare utenti umani regolari se e quando ciò si renda necessario.