我正在开发的 API 仅适用于移动应用程序。由于移动应用程序位于不同的设备和 IP 上,我不确定如何使其无法在应用程序外部访问。我能想到的唯一解决方案是随应用程序一起提供 API 密钥。这个应用程序不需要登录,因为它纯粹是 GET 请求,但我不希望人们能够在应用程序之外访问 API。
我怎样才能做到这一点?基于密钥是一个理想的选择吗?如果密钥被泄露怎么办?
您可以使用访问令牌(密钥),正如您已经指出的那样。
将令牌保存在本地存储中,在每个请求中将其发送到标头中(搜索:Authorization Bearer)。然后每次在 API 上检查它。
如果您的密钥遭到泄露,请在 API 上进行更改。您还需要在移动设备上更改它 - 您可以访问它吗?
希望有帮助。