एपीआई कुंजी या यहां तक कि टोकन प्रत्यक्ष प्रमाणीकरण और प्राधिकरण तंत्र की श्रेणी में आते हैं, क्योंकि वे आरएआर एपीआई के उजागर संसाधनों तक पहुंच प्रदान करते हैं। इस तरह के प्रत्यक्ष तंत्र का उपयोग प्रतिनिधिमंडल के मामलों में किया जा सकता है।
आरईएस एंडपॉइंट्स द्वारा उजागर एक संसाधन या संसाधनों का एक सेट प्राप्त करने के लिए, इसकी पहचान के अनुसार अनुरोधकर्ता विशेषाधिकारों की जांच करना आवश्यक है। वर्कफ़्लो का पहला चरण तब अनुरोध को प्रमाणित करके पहचान को सत्यापित कर रहा है; क्रमिक चरण पहुंच के स्तर को अधिकृत करने के लिए परिभाषित नियमों के एक सेट के खिलाफ पहचान की जाँच कर रहा है (यानी पढ़ें, लिखें या पढ़ें / लिखें)। एक बार जब उक्त कदमों को पूरा कर लिया जाता है, तो एक विशिष्ट चिंता का विषय अनुरोध की दर है , जिसका अर्थ है कि प्रति सेकंड कितने अनुरोधों को दिए गए संसाधन (नों) की ओर प्रदर्शन करने की अनुमति है।
OAuth (ओपन ऑथराइजेशन) प्रत्यायोजित पहुंच के लिए एक मानक प्रोटोकॉल है , जिसका उपयोग अक्सर प्रमुख इंटरनेट कंपनियां पासवर्ड प्रदान किए बिना एक्सेस देने के लिए करती हैं। जैसा कि स्पष्ट है, OAuth प्रोटोकॉल है जो उपर्युक्त चिंताओं को पूरा करता है: संसाधन स्वामी की ओर से सर्वर संसाधनों को सुरक्षित प्रत्यायोजित पहुंच प्रदान करके प्रमाणीकरण और प्राधिकरण। यह एक्सेस टोकन तंत्र पर आधारित है जो 3 जी पार्टी को संसाधन स्वामी की ओर से सर्वर द्वारा प्रबंधित संसाधन तक पहुंच प्राप्त करने की अनुमति देता है। उदाहरण के लिए, सर्विसएक्स जॉन की ओर से जॉन स्मिथ के Google खाते तक पहुंचना चाहता है, एक बार जॉन ने प्रतिनिधिमंडल को अधिकृत किया है; सर्विसएक्स को तब Google खाते के विवरण तक पहुंचने के लिए समय-आधारित टोकन जारी किया जाएगा, केवल पढ़ने की पहुंच में बहुत संभावना है।
एपीआई कुंजी की अवधारणा ऊपर वर्णित OAuth टोकन के समान है। प्रतिनिधि अंतर के अभाव में मुख्य अंतर होता है: उपयोगकर्ता क्रमिक प्रोग्रामेटिक इंटरैक्शन के लिए सेवा प्रदाता से कुंजी का अनुरोध करता है। API कुंजी का मामला समय के आधार पर है: OAuth टोकन के रूप में कुंजी एक समय लीज, या समाप्ति अवधि के अधीन है। अतिरिक्त पहलू के रूप में, कुंजी के साथ-साथ टोकन भी सेवा अनुबंध द्वारा सीमित होने के अधीन हो सकता है, अर्थात प्रति सेकंड केवल कुछ अनुरोधों की सेवा दी जा सकती है।
वास्तव में पुनरावृत्ति करने के लिए, पारंपरिक प्रमाणीकरण और प्राधिकरण तंत्र और कुंजी / टोकन-आधारित संस्करणों के बीच कोई वास्तविक अंतर नहीं है। प्रतिमान थोड़ा अलग है, हालांकि: क्लाइंट और सर्वर के बीच प्रत्येक बातचीत में क्रेडेंशियल का पुन : उपयोग करते रहने के बजाय, एक समर्थन कुंजी / टोकन का उपयोग किया जाता है जो समग्र बातचीत के अनुभव को चिकनी बनाता है और संभवतः अधिक सुरक्षित (अक्सर, जेडब्ल्यूई मानक, कुंजी और के बाद) Crafting से बचने के लिए टोकन को सर्वर द्वारा डिजिटल रूप से हस्ताक्षरित किया जाता है)।
- प्रत्यक्ष प्रमाणीकरण और प्राधिकरण : पारंपरिक क्रेडेंशियल-आधारित संस्करणों के एक संस्करण के रूप में कुंजी-आधारित प्रोटोकॉल।
- प्रत्यायित प्रमाणीकरण और प्राधिकरण : जैसे OAuth- आधारित प्रोटोकॉल, जो बदले में टोकन का उपयोग करता है, फिर से क्रेडेंशियल-आधारित संस्करणों के एक संस्करण के रूप में (समग्र लक्ष्य किसी भी 3 पार्टी के लिए पासवर्ड का खुलासा नहीं कर रहा है)।
दोनों श्रेणियां इच्छुक संसाधन (ओं) के मालिक सर्वर के साथ पहले बातचीत के लिए एक पारंपरिक पहचान सत्यापन वर्कफ़्लो का उपयोग करती हैं।