探索第三方 API 服务的身份验证方法:优点和缺点

最新推荐文章于 2024-12-09 15:02:51 发布
翻译 最新推荐文章于 2024-12-09 15:02:51 发布 · 429 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://sethphat.dev/exploring-authentication-methods-for-third-party-api-services-pros-and-cons
文章标签:

#php #服务器 #前端

文章探讨了三种常见的API身份验证方法:简单的API密钥、登录+access_token和密钥交换。简单的API密钥实现容易但安全性较差;登录+access_token增加了一定的安全性,但需管理生命周期;密钥交换提供最高安全性,但设置复杂。对于不同敏感程度的服务,作者建议权衡安全与性能。

探索第三方 API 服务的身份验证方法:优点和缺点

赛斯·法特的相片
赛斯法特
·
2023 年 3 月 18 日
·
4分钟阅读

嗨,大家好,

我们中的大多数人已经使用多个第三方 API 服务来实现您的业务逻辑。是的,他们中的大多数都有不同的身份验证方式。

在这篇文章中,我将拆解一些流行的方式。让我们开始吧。

简单的 API 密钥
80% 的服务都是以这种方式使用的。我们只需索取 API 密钥(从管理仪表板)然后 boom,我们可以立即使用这些服务。

我们需要在标头、URL 参数或 POST 正文中提供 API KEY。

$http->get('https://awesome-service.com/v1/api/awesomeness', [
    'headers' => [
        'X_API_KEY' => 'generated_api_key_here',
    ],
]);

优点:

最简单的方法,实现很简单。

API 消费者很高兴,因为它也非常易于使用。

API KEY 将永远可用。

缺点:

API KEY 将永远可用(笑)。检查下一个。

拥有最差的身份验证安全性。如果你公开了你的密钥,每个人都可以使用你的密钥访问该服务(如果该服务包含敏感数据、金钱等,那将是一个真正的危险)。以及速率限制。

为避免这种情况,请在后端服务中创建自己的包装层来处理第 3 方请求。切勿返回/使用 FE/Mobile 中的密钥。

💯 如果服务提供了 SDK 包(用于 PHP、Node、…)- 节省时间嘿嘿。
或者,服务提供商也应该有白名单/后备 IP 地址。

一旦安全问题得到解决,那么它始终是我的首选解决方案。

简单登录以保留 API 密钥
与 about 相同,但还有 2 个改进:

我们可以索取 API 密钥。但此 API 密钥仅用于login(保留另一个可用于请求其他端点的 API 密钥 - 我将其称为access_token)

将access_token有一个寿命(30m,1h,…)

所以我们的代码会是这样的:

$dynamicToken = $http->post('https://strict-service.com/v1/api/auth', [
    'login_id' => 'seth.tran',
    'api_key' => 'generated_api_key_here',
]);

$http->get('https://strict-service.com/v1/api/classes', [
    'headers' => [
        'X_API_KEY' => $dynamicToken,
    ],
]);

优点:

比第一点更严格的安全性。

API 密钥现在有生命周期。

缺点:

在我们的后端服务中,我们需要添加生命周期检查(以便在请求令牌是否过期之前刷新)

如果 SDK 可用并覆盖它,那么💯
密钥交换
这种方式也非常严格。它还伴随着第一点,我们仍然需要一个生成的 API 密钥(用作标识符)。

这将涉及 1 个或多个密钥,例如 SSH、GPG、…甚至 SSL 证书(笑)。

首先,双方将共享公钥。然后导入它。

当向服务发出任何 API 请求时,我们的 BE 服务需要:

使用我们的私钥和他们的公钥来加密负载。

使用生成的 API 密钥进行调用。

一旦我们收到响应负载,我们可能需要:

解密有效载荷(上面的相同密钥方法)

$encryptedPayload = GpgService::forBankService()
    ->encrypt([
        'to' => [
            'name' => 'Seth Phat',
            'account' => '01010101010101',
            'swift_code' => 'ABCXYZ',
        ],
        'amount' => 100.00,
        'currency' => 'USD',
    ]);

$http->post('https://bank-service.com/v1/api/transfer', [
    'headers' => [
        'X_API_KEY' => 'my_generated_token',
    ],
    'body' => $encryptedPayload,
]);

很严格,对吧?

优点:

最安全的方式。数据将始终在两端加密。
缺点:

花很多时间来设置(在我们的基础设施中,在服务端,…)。大约需要一两个星期是正常的。

我们的 BE 服务需要实现加解密逻辑。

相信我,一旦你处理了这个,性能就不会很好。
大多数遵循这种方式的服务不会提供任何 SDK 包。只有文档。

根据服务的不同,我们必须重新生成密钥/SSL 证书(有些每年一次,有些每 5 年一次,…)

结论
个人选择:

对于不包含敏感数据的普通服务,我总是选择第一点(当然有多个安全选项)

对于敏感服务:安全优于性能 - 密钥交换。

你会选择什么?

呵呵,加油!

DRF 3.x Authentication 身份验证使用示例配置方法
Mr数据杨
01-26 3万+
自定义身份验证方案是继承 `BaseAuthentication并重写方法身份验证成功则会返回一个元组数据(user, auth)`,否则会返回 None。以下是一个自定义身份验证方案的示例,它将对名为X-USERNAME的自定义请求标头中的用户名所指定的用户进行身份验证
java校验身份证信息-调用第三方(聚合API
Aron的博客
01-26 1990
HttpClient httpClient = HttpClientBuilder.create().build(); ObjectMapper mapper = new ObjectMapper(); HttpGet httpGet = null; HttpResponse response = null; HttpEntity entity = null; String respon
记一个与第三方企业对接的身份验证流程
m0_38125704的博客
11-15 994
最近要第三方企业进行数据对接,就研究了一下身份验证(数据加解密)的事情;记录一下,最后的验证过程; 一、首先是我包装数据发送至第三方企业。 1、采用RSA算法生成非对称加密公私钥,双方交换公钥; 2、动态生成对称密钥,采用的是SM4加解密(AES也OK); 3、对需要传递的报文通过对称密钥加密,然后BASE64编码; 4、用对方的公钥对对称密钥进行加密,然后BASE64编码; 5、用...
BI@Report使用第三方库表数据进行数据库用户验证
09-30 1109
BI@Report如何使用第三方库表数据进行数据库用户验证? 1.根据已知的用户表信息,进入 bi,进入用户权限->库表配置->配置机构模式,选择第三方 机构表,根据向导对用户进行配置即可。如下图: 2.通过连接第三方用户机构库配置后的点击“测试”按钮,确保配置成功。 3.先确保"根据代码查找用户"的 SQL 已测试通过.因为"登陆"的测试过程需要使用"根 据代码
身份鉴别
sparename的博客
10-08 5203
身份鉴别1、身份鉴别基础2、基于实体所知的鉴别3、基于实体所有的鉴别4、基于实体特征的鉴别5、 kerberos体系6、认证、授权计费 1、身份鉴别基础 ◆理解标识与鉴别的区别、鉴别类型、鉴别方式等 ◆基本概念 ◆了解对身份鉴别系统的主要要求 身份鉴别的概念 ◆标识 ◆实体身份的一种计算机表达 ◆每个实体与计算机内部的一个身份表达绑定 ◆信息系统在执行操作时,首先要求用户标识自己的身份,并提供证明自己身份的依据,不同的系统使用不同的方式表示实体的身份,同一个实体可以有多个不同的身份 ◆标识示例 ◆用户ID
第三方API使用
weixin_44490884的博客
02-26 1354
第三方API使用 一、百度AI-语音识别&图片搜索 准备工作 在浏览器输入http://ai.baidu.com/打开百度AI开发平台首页 2)点击右上角控制台,进入用户注册登录界面 3)进入管理中心 语音识别 https://cloud.baidu.com/doc/SPEECH/s/pk4o0bkx8 第一步:左侧菜单选择语音技术 第二步:语音识别主界面点击创建应用 第三步:创建应用填写应用信息 第四步:创建成功后进入应用列表查看 【注意:AppID 、API Key、 Secret Ke
具体描述GGIAPI技术的特点并比较它们优劣势
yayayalaila的博客
04-06 2668
API: 应用程序编程接口( API ) 是计算机之间或计算机程序之间的连接。它是一种软件接口,为其他软件提供服务。描述如何构建或使用此类连接或接口的文档或标准称为API 规范。符合此标准的计算机系统被称为实现或公开API。 CGI: CGI(Common Gateway Interface) :通用网关接口,WWW技术中最重要的技术之一,外部应用程序(CGI程序)与Web服务器之间的接口标准,是在CGI程序Web服务器之间传递信息的规程。
C#在***中的身份验证扩展:全面掌握第三方认证服务集成(权威教程)
身份验证是C#应用程序中确保用户身份系统安全的关键组成部分。在这一章中,我们将深入探讨C#中的身份验证机制,从基础概念入手,逐步剖析其运作方式设计原理。本章的目标是为读者提供一个清晰的视图,帮助理解...
AI Agent扩展功能实战:第三方API服务集成
![AI Agent扩展功能实战:第三方API服务集成]...第三方API服务则为AI Agent提供了丰富的外部数据功能,使得AI Agent能够扩展其能力边界,更好地与现实世界交互。 ## 1.1 什么是AI Agen
【易语言API数据交互】:增强爬虫功能的第三方API服务集成指南
[【易语言API数据交互】:增强爬虫功能的第三方API服务集成指南](https://docs.suva.ai/Content/Resources-Mamba20/Images/Chatbots/key-llm-integration/1_thumb_0_0.png) 参考资源链接:[易语言爬取网页内容方法]...
API设计与接口管理:中控BS架构考勤系统与第三方服务的完美集成
接着,探讨了第三方服务的集成策略,包括接入流程、数据交互以及监控与维护。实践案例部分,通过系统集成的案例分析以及集成效果的评估与反馈,验证了API设计与接口管理在考勤系统中的有效性。最后,本文展望
网络安全----身份认证
juggte的博客
11-17 8801
身份认证的概念 ▪ 身份认证(Authentication)是证实实体(Entity)对象的数字身份与物理身份是否一致的过程。身份认证技术能够有效防止信息资源被非授权使用,保障信息资源的安全。 身份认证的过程 • 从认证的方向:单向认证与双向认证过程;通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证。通信的双方需要互相认证鉴别对方的身份,这样的认证过程是双向认证。以单向口令认证过程为例: ◼身份认证实现过程中,被鉴别的认证信息要实现加密,涉及密钥管理分发服务。实际的身份认证往往
网络安全工程师必知的身份鉴别知识
最新发布
Hacker_Nightrain的博客
12-09 632
第三方鉴别是一种身份验证方式,其中存在一个独立的第三方实体,负责验证其他两个实体的身份。例如,证书颁发机构(CA),当通信双方都获得CA颁发的数字证书时,它们可以相互验证对方的身份,并信任CA的权威性。通常,客户端验证服务器的身份的同时,服务器也验证客户端的身份。中的一个关键概念,指的是确认用户、系统或实体的身份以确保其合法性可信度的过程。身份鉴别方式主要包括实体所知、实体所有、实体特征、多因素鉴别,具体如下所述。身份鉴别的类型包括单向鉴别、双向鉴别、第三方鉴别,具体如下所述。
身份认证API
lastingboy的博客
01-21 1141
用户中心请求百度AI识别身份证,在用户中心定义识别身份证照片接口:1、接口描述如下1)前端提交身份证照片到用户中心2)用户中心请求百度AI进行身份证识别3)百度AI返回识别结果给用户中心4)用户中心响应前端返回识别结果2、接口定义如下/*** 提交身份证图片给百度AI进行识别* @param file 被上传的文件* @param flag 身份证正反面 取值front 或 back* @return Map集合 识别成功后把身份证上的姓名身份证号存到map中返回*/
API 鉴权都有哪些分类,这些重点不要错过
kungfuboy17的博客
04-18 1597
API鉴权是保证API安全性可用性的一项重要措施。通过API鉴权,系统可以对用户或者应用进行有效的身份认证权限管理。一般来说,在实际开发中,我们使用以下几种API鉴权方式:
身份证校验规则
高山景行,一尘不染
12-06 6294
工作中经常遇到身份证号的校验,下面是整理的内容,有第三方验证姓名身份证是否是一个人的准确性。 根据《中华人民共国国家标准GB 11643-1999》中有关公民身份号码的规定,公民身份号码是特征组合码,由十七位数字本体码一位数字校验码组成。排列顺序从左至右依次为:六位数字地址码,八位数字出生日期码,三位数字顺序码一位数字校验码。顺序码的奇数分给男性,偶数分给女性。校验码是根据前面十七位数字...
API网关的优缺点
ahao214——Dreamspace
08-18 2233
优点: 1、封装了微服务的内部结构 2、客户端只需要同网关交互、而不必调用特定的服务 3、API网关为每一类客户提供特定的API,减少客户端与系统的交互次数,简化客户端的代码 缺点: 1、增加了一个必须开发、部署、维护的高可用组件 2、API网关也可能成为性能瓶颈(风险) ...
REST ful API缺点
热门推荐
UNT的博客
07-19 1万+
最近看了一些REST博客,加上之前学过的一些资料,简练总结一下REST ful API的优缺点。   优点: 1.适合开放性高的API。这几年的由于移动互联网流行使得前端设备多样化,业界急需一种统一的机制来规范API设计,使得API适用于各种各样的前端设备,REST符合这种需求。 2.行为资源分离,更容易理解。 3.提出使用版本号(例如v1、v2),更加规范。   缺点: 1.对...
身份鉴别与访问控制(NISP一级考试内容)
PICACHU+++的博客
02-17 6090
一、身份鉴别 1.标识与鉴别 标识是实体身份的一种计算机表达。信息系统在执行操作是,首先要求用户标识自己的身份,并提供证明自己身份的依据,不同的系统使用不同的方式表示实体的省份,同一个实体也可以有多个不同的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值