用于内部消费和身份验证的REST API

Question

当我使用来自Web应用程序的公共API时，我在我的客户端中使用了一个API密钥作为字符串。

现在假设我为内部消耗设计了一个REST API。我们来说说一个移动应用商店。 eshop的用户使用用户名和密码登录。

这是否意味着我的客户端不会使用API​​密钥身份验证，而是使用用户名和密码？我还在REST API中看到了很多OAuth2，这似乎也是一种面向密钥的身份验证。他们只是不同的类型，所有有效的？ API密钥通常是为开发人员发布的，但可以与客户合作吗？

Answer 1

它可以工作，这也是你会在很多情况下看到的。您使用用户名和密码（POST请求）登录，服务器将返回一个身份验证令牌，您可以通过头文件或JavaScript分别将其存储在Cookie或本地存储中。当需要用户特定信息时，您将使用该令牌进行身份验证，类似于OAuth2和开发密钥的工作方式。

Answer 2

根据我对你的问题的理解 -

有你如何能验证API的方法或途径。一些常见的是通过Oauth，令牌认证和基本认证（用户名和密码）。

你可以阅读这里的一些概念 - http://www.django-rest-framework.org/api-guide/authentication/

希望这有助于