これまでに回答したと思ったが、すぐにSO searchは何も出てこなかった。RESTful APIへの安全なデータアクセス
APIKeyによってロックされたプライベートAPIがあります。このキーは、リクエストごとに渡す必要があります。このキーを使用すると、APIの任意の部分にアクセスできます。明らかにそれはかなりオープンです。ほとんどの場合、これは受け入れられます。ただし、データがオーナーによって送信されていることを確認したい場合があります。
たとえば、更新またはを削除要求とみなします。他人のデータに対してこの要求を行うことはできません。だから、APIKeyに加えて、私はその要求を行うこのユーザーがそのアクションを実行することを保証するために他に何かを持っていたいと思います。
オーナーIDにこのようなリクエストを渡す必要があります。しかし、それはすぐに偽造されます。それで私は何を得ましたか?
私はこのような状況でSOの他のメンバーが実装していることを聞くことに興味があります。個々のAPIキー?二重認証ですか?
私のAPIはRESTアーキテクチャに準拠しており、PHP/Apacheで開発されています。
* refreshトークン*について詳しく説明できますか? –
https://tools.ietf.org/html/draft-ietf-oauth-v2-23#section-1.5 – abraham