如何为本地和远程请求实现API安全性？

Question

我已经设置了一个基于web的API来允许远程应用程序获取/发布数据。每个API调用都使用用户ID和密码进行验证，该用户ID和密码使用只有远程应用程序和网站才知道的密钥加密。此认证不仅确保用户可以访问该API，而且还允许我根据用户的配置文件实现安全功能（即用户A可以看到项目A & B，但不能看到项目C）。

我希望我的服务器端网站页面能够通过AJAX调用远程调用相同的API方法，但是，在代码中存储加密密码看起来不正确，而且我的网站实现了一个“登录为”功能，这将不允许我设置加密密码，因为密码不是以纯文本格式存储的。

对于不需要加密用户密码的远程和“本地”调用实现API安全性的好方法是什么？

Answer 1

您不应该在服务器端代码中存储用户名和密码。迟早有人会盯着你的代码，你的数据会变得脆弱。

但你也不应该在客户端代码中存储秘密（密钥）。你不应该假设你的客户可以信任保守这个秘密。

给予用户对项目A和B（但不是C）的访问称为授权，并取决于您是否知道谁调用了您的API（验证）。

您应该仔细研究身份验证协议，如OpenID Connect和授权协议，如OAuth 2.0。

另请参阅我对this问题的回答。