J'ai trouvé pas mal de questions sur ce sujet sur SO, mais n'a pu trouver aucune réponse à cette question:API RESTful authentification
Dois-je valider les utilisateurs avec leur nom d'utilisateur et mot de passe, ou avec une clé API? Et quels sont les avantages et les inconvénients de chaque méthode.
Je pose cette question parce que dans mon API, il y a quelques méthodes que je voudrais verrouiller et vérifier que l'utilisateur a accès à un document ou une action. Je suis un peu réticent à m'authentifier en demandant à l'utilisateur d'envoyer un en-tête HTTP AUTH avec son nom d'utilisateur et son mot de passe car il ne semble pas sécurisé et représente un peu plus de tracas pour l'utilisateur. D'un autre côté, si j'utilise une clé API, à quoi sert-il de créer un mot de passe? Comme ils ne l'utiliseront plus pour accéder aux fonctionnalités de l'API.
MISE À JOUR
Si d'autres lecteurs de ce sont curieux de ce que je fini par utiliser, j'ai décidé de copier comment Amazon fait leur validation (bonne explication here: https://www.ida.liu.se/~TDP024/labs/hmacarticle.pdf)
Appréciez la mise à jour. Je vous remercie. –
Le lien est cassé, merci de bien vouloir le mettre à jour. Lien mis à jour: https://www.ida.liu.se/~TDP024/labs/hmacarticle.pdf –
lien: http://acaasia.blogspot.co.il/2013/04/designing-secure-rest-web- api-without.html – OhadR