Création d'une infrastructure d'authentification pour une API

Question

Je suis en train de créer une API publique afin que nous puissions développer certaines fonctions pour nos clients. Je suis sûr qu'il existe de bons cadres, je ne sais pas par où commencer.

Il y a deux choses que ce cadre devrait atteindre.

1. La possibilité d'approuver/refuser les développeurs par rapport à l'API. Ceci est réalisé dans certaines autres applications Web avec un code ou une clé API. Nous voudrions les suivre et être capables de les désactiver si l'Application qu'ils ont développée a violé notre T & C. et les réactiver si nécessaire. La possibilité d'authentifier un utilisateur d'une manière sécurisée sans que le consommateur de l'API puisse recueillir le nom d'utilisateur et le mot de passe. Je pense que cela est réalisé en utilisant des technologies comme oAuth, mais je n'ai pas été capable de trouver des scénarios pour m'aider à comprendre oAuth.

Quelles bibliothèques/cadres sont disponibles pour réaliser ces choses. (Open source ou payant)

Answer 1

Une solution simple consiste à signer la demande. Par exemple j'utilise une passerelle de paiement qui me force à ajouter un hachage sha1 de la concaténation de certaines données + une clé que je définis dans l'admin.

Ceci rend l'API theys très sécurisée et je n'ai pas besoin d'utiliser des API compliquées et beaucoup de code. Je l'aime beaucoup :)