Я написал веб-приложение и хотел бы, чтобы другие разработчики могли получать от него информацию.
Сервер, над которым я работаю, не такой уж сложный и не может обрабатывать такое количество запросов, поэтому идея состоит в том, чтобы сгенерировать и назначить ключи API всем, кто хочет запросить нашу информацию. С помощью ключей Api я могу ограничить ежедневные запросы и, возможно, собрать некоторую статистику, чтобы увидеть, какая информация действительно полезна для других разработчиков.
Дело в том, что меня беспокоит аспект безопасности. Поскольку ключ Api будет отправлен на наш сервер (через GET / POST и т. Д.), Кто-то может прослушать запрос с помощью wirehark и без особых усилий получить ключ API разработчиков, верно?
Подумал о создании секретного ключа и ключа API. Затем я мог бы проинструктировать других разработчиков объединить их и отправить хеш-код в наш API. Затем я бы проверил, что хеш действителен, и разрешил бы запрос ... Но тогда та же проблема сохранится. Хакер по-прежнему может обнюхивать этот хэш и делать запросы от имени приложения другого разработчика.
Итак, мои вопросы
- Как я могу избежать этой проблемы?
- Или еще лучше, действительно ли мое беспокойство? Это настоящая проблема?
- Есть ли лучший и безопасный способ разрешить доступ к моей информации, не усложняя ее для других разработчиков?
Что вы думаете, ребята?