Sto cercando di integrarmi con il mio host usando i loro webservices REST.
Tuttavia, l'autenticazione per il webservice richiede solo due cose:
- Un token API che posso recuperare dal loro portale una volta
- Il mio nome utente per accedere al loro portale
Entrambi devono essere inviati nelle intestazioni, sotto i nomi "ApiKey" e "PortalUsername". Deve essere inviato su HTTPS.
Quanto è sicuro questo davvero? Non sono troppo tecnico, ma conosco alcune cose sui servizi web e sull'autenticazione. HTTPS non è la soluzione per la protezione contro ogni tipo di intercettazione. Una volta mi sono integrato con qualche altro servizio web e hanno richiesto che la chiave API venisse sottoposta a hash e digerita tramite un percorso, che mi sembrava più sicuro.
Sono ansioso di saperne di più su questo argomento e so che posso usare tranquillamente questo servizio web (con accesso a informazioni abbastanza sensibili), o non basato su come hanno configurato l'autenticazione.