這幾天,我一直在學習API認證。在嘗試了幾種方法並創建了一個小專案之後,我認為分享我的經驗是個好主意。在這篇文章中,我們將介紹:
- 為什麼 API 驗證很重要。
- 不同類型的 API 驗證(基本、API 金鑰和基於令牌)。
- 如何使用 Axios.
在簡單的 Web 應用程式中實作這些驗證方法
讓我們開始吧!
為什麼 API 驗證很重要?
在大多數情況下,我們不希望我們的私人 API 對任何人開放。身份驗證有助於確保只有授權使用者或客戶才能存取我們的 API。此外,身份驗證有助於限制請求數量、追蹤使用者並保護敏感資料。
但是不需要驗證的 API 又如何呢?您仍然可以透過使用速率限制在一定程度上保護它們,這限制了使用者或IP在特定時間範圍內可以發出的請求數量。當您提供靜態資料或不需要嚴格保護時,這非常有用。
現在,讓我們深入了解API 驗證的三種主要類型:基本驗證、API 金鑰授權和基於令牌的驗證。
1.基本驗證
基本驗證涉及透過每個 API 請求發送以 Base64 編碼的 使用者名稱 和 密碼。雖然實作起來很簡單,但它不是很安全,因為每個請求都會傳遞憑證。
我如何實現基本驗證
在這個範例中我使用了 Secrets API。首先,我透過發送帶有以下資料的 POST 請求來註冊用戶:
{
"username": "arka",
"password": "221855"
}
登入後複製
註冊成功後,我使用Postman登錄,並在請求標頭中發送用戶名和密碼:
GET https://secrets-api.appbrewery.com/all?page=1
登入後複製
這將傳回使用者儲存的秘密清單。
以下是我如何使用 Axios 在 Node.js 應用程式中實作基本驗證:
// Basic authentication route
app.get("/basicAuth", async (req, res) => {
try {
const result = await axios.get(API_URL + "/all?page=2", {
auth: {
username: myUsername,
password: myPassword,
},
});
res.render("index.ejs", { content: JSON.stringify(result.data) });
} catch (error) {
res.status(404).send(error.message);
}
});
登入後複製
2. API金鑰授權
API 金鑰授權允許透過在每個請求中傳遞金鑰(為使用者產生)來存取 API。此金鑰用於追蹤發出請求的客戶端,並且通常可以與速率限製或計費相關聯。
身份驗證和授權之間的區別
要記住的一個關鍵區別:
-
驗證:驗證使用者的身分(例如,使用憑證登入)。
-
授權:允許使用者或用戶端存取資源(例如,使用 API 金鑰發出請求)。
透過 API 金鑰授權,您通常會獲得以下 API 金鑰:
GET https://secrets-api.appbrewery.com/generate-api-key
登入後複製
收到API金鑰後,您可以使用它來發出授權請求:
GET https://secrets-api.appbrewery.com/filter?score=5&apiKey=generated-api-key
登入後複製
以下是我在應用程式中實作 API 金鑰授權的方法:
// API key route
app.get("/apiKey", async (req, res) => {
try {
const result = await axios.get(API_URL + "/filter", {
params: {
score: 5,
apiKey: myAPIKey,
},
});
res.render("index.ejs", { content: JSON.stringify(result.data) });
} catch (error) {
res.status(404).send(error.message);
}
});
登入後複製
3.基於令牌的身份驗證 (OAuth)
基於令牌的身份驗證比其他方法更安全。使用者使用其憑證登錄,API 提供者產生一個令牌。該令牌用於後續請求,而不是每次都傳遞使用者名稱和密碼。
這種方式在OAuth中常用,而token的有效期限往往是有限的。當第三方應用程式需要與使用者的資料互動時(例如從其他應用程式使用 Google 日曆),這尤其有用。
我如何實現基於令牌的身份驗證
首先,我註冊並獲得了token:
POST https://secrets-api.appbrewery.com/get-auth-token
{
"username": "jackbauer",
"password": "IAmTheBest"
}
登入後複製
收到令牌後,我將其用於將來的請求:
GET https://secrets-api.appbrewery.com/secrets/1
登入後複製
以下是我如何使用不記名令牌在我的應用程式中實現基於令牌的身份驗證:
// Bearer token route
const config = {
headers: { Authorization: `Bearer ${myBearerToken}` },
};
app.get("/bearerToken", async (req, res) => {
try {
const result = await axios.get(API_URL + "/secrets/2", config);
res.render("index.ejs", { content: JSON.stringify(result.data) });
} catch (error) {
res.status(404).send(error.message);
}
});
登入後複製
把它們放在一起
為了總結我的學習,我創建了一個小型 Web 應用程序,它實現了所有四種類型的 API 請求(無身份驗證、基本身份驗證、API 密鑰和基於令牌)。該應用程式有四個按鈕,每個按鈕都會觸發不同類型的請求。
以下是我如何在應用程式中設定路線和按鈕的先睹為快:
// No authentication route
app.get("/noAuth", async (req, res) => {
try {
const result = await axios.get(API_URL + "/random");
res.render("index.ejs", { content: JSON.stringify(result.data) });
} catch (error) {
res.status(404).send(error.message);
}
});
登入後複製
您可以在此處找到該應用程式的完整程式碼:GitHub Repo。
此應用程式示範了 API 驗證的重要性以及如何使用 Axios 來實作它以處理 Node.js 環境中的請求。
我面臨的挑戰
在處理這個專案時,我遇到了透過 Axios 發送請求的問題,尤其是基本身份驗證。經過一番挖掘,我發現了一篇有用的 StackOverflow 帖子,它消除了我的困惑。如果您遇到類似問題,請務必檢查!
結論
了解 API 驗證對於保護您的 API 免受濫用和限制未經授權的存取至關重要。透過實作基本驗證、API 金鑰和基於令牌的授權,您可以保護您的 API 並確保其負責任的使用。
重點:
-
基本驗證很簡單,但不太安全。
-
API 金鑰授權 允許追蹤請求,但可以輕鬆共用。
-
基於令牌的身份驗證是OAuth系統中最安全且最常用的。
我希望這篇文章能幫助您了解不同類型的 API 驗證!請隨時在下面的評論中提出任何問題或回饋。快樂編碼! ?
以上是API 身份驗證初學者指南:從基礎知識到實施的詳細內容。更多資訊請關注PHP中文網其他相關文章!
