Sto progettando un'API e voglio imparare a creare un metodo di accesso sicuro, qualcosa di più sicuro della semplice emissione di una chiave API.
Da quello che posso raccogliere quanto segue sarebbe sicuro:
-
Il client richiede un token di sessione presentando una chiave API pubblica
-
Il token di sessione viene verificato quando il client presenta l'API con una firma digitale
-
Il token di sessione scade dopo un certo periodo di tempo
-
La firma digitale verrebbe creata utilizzando la seguente funzione
base64_encode (hash_hmac ('sha1', STRING));
Dove STRING è un modello predefinito come Chiave segreta dell'API + Punto di accesso dell'API + Token di sessione per esempio.
Supponendo che sia giusto ho due domande; c'è bisogno di una chiave pubblica offuscata, purché non sia incrementale o debba essere utilizzato un metodo di generazione di chiavi altamente sicuro? In secondo luogo, la funzione di firma indicata è applicabile alla maggior parte dei sistemi commerciali, sembra che debba essere ampiamente utilizzata da altre API.