我正在为我公司的数据设计一个公共API。我们希望应用程序开发人员注册一个API密钥,以便我们可以监控使用和过度使用。将API密钥放在页眉或URL中
由于API是REST,我最初的想法是将此密钥放在自定义标头中。这就是我看到谷歌,亚马逊和雅虎这样做的原因。另一方面,我的老板认为,如果密钥仅仅成为URL的一部分,则API更易于使用,等等。“http://api.domain.tld/longapikey1234/resource”。我猜这有什么需要说明的,但是它违反了URL的原则,将其作为您想要的简单地址,而不是您想要的方式或原因。
你会发现将密钥放在URL中是合乎逻辑的吗?或者,如果将一个简单的JavaScript前端写入某些数据,您是不是必须手动设置HTTP标头?
我已经为第三部分 - 最终用户使用了授权标头。这就是最终用户需要登录到应用程序才能获得对内容的完全访问权限。 – 2011-04-01 23:31:25
@Thomas可以放入auth头文件的参数数量没有限制。看看OAuth,它在头部有大约8个不同的参数值。 – 2011-04-01 23:42:15
链接更新 - 现在是[RFC 7235](https://tools.ietf.org/html/rfc7235)截至2014年6月 – 2014-12-01 20:44:54