首頁(yè) 猿問(wèn) API 接口鑒權(quán)設(shè)計(jì)

API 接口鑒權(quán)設(shè)計(jì)

JavaScript

HUX布斯 2019-03-13 18:15:17

已經(jīng)開(kāi)發(fā)好了一套 RESTful API 接口，方便PC端和APP端調(diào)用，只進(jìn)行了 session 認(rèn)證，每次調(diào)用 API 都會(huì)檢查當(dāng)前 session 中是否存在 uid，也就是判斷是否已經(jīng)有用戶登錄了，這樣可以防止未登錄的用戶調(diào)用API接口，但這樣設(shè)計(jì)肯定有問(wèn)題，所以我想用 token 方式認(rèn)證，類(lèi)似于 github 的 token 認(rèn)證，在調(diào)用 API 時(shí)攜帶 token 進(jìn)行認(rèn)證，這樣不需要用戶登錄也可以對(duì)用戶進(jìn)行鑒權(quán)認(rèn)證。想法雖然很好，但遇到了一個(gè)問(wèn)題，我的這套 API 接口不僅提供給其他開(kāi)發(fā)者使用，我自己網(wǎng)站也在使用，比如主頁(yè)顯示所有用戶，api 為 http://api.example.com/users, 我會(huì)在前端用 fetch 請(qǐng)求 http://api.example.com/users，得到返回值后在主頁(yè)顯示所有用戶信息。如果我使用 token 認(rèn)證，那 http://api.example.com/users 這個(gè) API 地址也要加上 token，但這又是網(wǎng)站使用，并非第三方開(kāi)發(fā)者使用，那這個(gè) token 用誰(shuí)的呢，肯定不能用某個(gè)開(kāi)發(fā)者的，那就只能用一個(gè)公共的 token,但一旦在PC端API請(qǐng)求時(shí)加上了這個(gè)公共 token,只要打開(kāi)開(kāi)發(fā)者工具這個(gè) token 就人盡皆知了，也就失去了認(rèn)證的意義了。我看了 github 的做法，他的前臺(tái)頁(yè)面數(shù)據(jù)讀取都沒(méi)有使用 api 接口獲取數(shù)據(jù)，而是直接返回一個(gè)頁(yè)面的，包含html和css，比如讀取我的 star 項(xiàng)目，github 請(qǐng)求的 url 是 https://github.com/joyran?pag...，而如果用 api 獲取數(shù)據(jù)則為 https://api.github.com/users/...，api 只返回?cái)?shù)據(jù)，而上面那個(gè)地址返回完整頁(yè)面。這樣用戶即使知道了這個(gè)地址 https://github.com/joyran?pag...，但苦于返回的是完整頁(yè)面，只能通過(guò)正則表達(dá)式或者其它方法提取出自己想要的數(shù)據(jù)，增加了難度。這種方法對(duì)于我而已一個(gè)不好的地方是要寫(xiě)兩套接口，一個(gè)是API只返回?cái)?shù)據(jù)，另外一個(gè)返回完整頁(yè)面，但是我的前臺(tái)是React + Redux 開(kāi)發(fā)的，所有的數(shù)據(jù)請(qǐng)求都是 fetch API接口，然后更新 store 從而更新頁(yè)面視圖，如果fetch返回的數(shù)據(jù)是一個(gè)完整頁(yè)面，我無(wú)法更新 store。還看了下知乎的設(shè)計(jì)，改版后的知乎也是基于React + Redux開(kāi)發(fā)的，前臺(tái)數(shù)據(jù)的獲取也是通過(guò)請(qǐng)求API然后更新store的，知乎的API在請(qǐng)求時(shí)沒(méi)有認(rèn)證，可以任意使用，比如 https://www.zhihu.com/api/v4/... 讀取前端話題下的討論，這種方式API就沒(méi)有認(rèn)證了，所有人都可以使用。所以問(wèn)題來(lái)了，知乎那樣設(shè)計(jì)是不是因?yàn)槟惚緛?lái)就可以在PC端任意瀏覽話題下的討論，我沒(méi)有必要限制你API訪問(wèn)，畢竟你不用API不用鑒權(quán)也可以看到話題下的討論，但是知乎用這種方式很容易讓它的API，而且由于API沒(méi)有認(rèn)證和訪問(wèn)限制，第三方開(kāi)發(fā)者可以利用這個(gè)API開(kāi)發(fā)一些知乎第三方應(yīng)用了。我的需求是自己和第三方開(kāi)發(fā)者以及移動(dòng)APP或者微信小程序等公用一套API接口，第三方開(kāi)發(fā)者在PC端使用開(kāi)發(fā)者工具分析出API接口后想要調(diào)用必須申請(qǐng)token才能訪問(wèn)，應(yīng)該怎么設(shè)計(jì)，謝謝。

查看完整描述

3 回答

天涯盡頭無(wú)女友

TA貢獻(xiàn)1831條經(jīng)驗(yàn) 獲得超9個(gè)贊

看了你的需求，目前我們app就是這么干的，所有api必須申請(qǐng)token之后才能訪問(wèn)。對(duì)單個(gè)客戶端來(lái)說(shuō)，token 20分鐘換一次，每一個(gè)設(shè)備對(duì)應(yīng)一個(gè)token。如果是app，那么直接用設(shè)備號(hào)，如果是web，那么直接生成隨機(jī)數(shù)存放localstorage當(dāng)成設(shè)備號(hào)來(lái)用。這樣的話設(shè)備和token就一一對(duì)應(yīng)了。token放在memcache，順便隱射一些常用用戶數(shù)據(jù)，比如id、賬號(hào)等，超時(shí)機(jī)制使用memache自帶的。20分鐘后，客戶端必須使用refreshToken再次刷新token。目前我們app近100萬(wàn)用戶，單臺(tái)服務(wù)器token管理毫無(wú)壓力。

1 反對(duì) 回復(fù) 2019-04-09