API कुंजी को कहां रखें: एक कस्टम HTTP हेडर बनाम एक कस्टम स्कीम के साथ प्राधिकरण हेडर

मैं एक API कुंजी के माध्यम से प्राधिकरण / प्रमाणीकरण का उपयोग करके एक REST API डिज़ाइन कर रहा हूं।

मैंने यह पता लगाने की कोशिश की कि इसके लिए सबसे अच्छी जगह क्या है और पता चला कि बहुत से लोग कस्टम HTTP हेडर का उपयोग करने का सुझाव देते हैं ProjectName-Api-Key, जैसे:

ProjectName-Api-Key: abcde

लेकिन यह भी संभव है और वैचारिक रूप से Authorizationएक कस्टम योजना के साथ हेडर का उपयोग करने के लिए सही है , जैसे:

Authorization: ApiKey abcde

दूसरी ओर, मैंने पाया कि एक कस्टम प्राधिकरण योजना कुछ ग्राहकों द्वारा अप्रत्याशित और असमर्थित हो सकती है और वैसे भी कस्टम कोड की ओर ले जा सकती है, इसलिए कस्टम हेडर का उपयोग करना बेहतर है क्योंकि क्लाइंट को इसके बारे में कोई उम्मीद नहीं है।

आप किस तरह से एक एपीआई कुंजी भेजना पसंद करेंगे?

यदि आप प्राधिकरण का उपयोग करते हैं, तो सुसंगत रहें

कुछ तर्क देंगे कि निम्नलिखित अनावश्यक है ( और बहुत समय पहले मैं उनके साथ सहमत नहीं था ) लेकिन, इन दिनों, अगर हम Authorizationहेडर का उपयोग करते हैं तो हमें टोकन के प्रकार की जानकारी देनी चाहिए , क्योंकि एपीआई कुंजी प्रति सेल्फ-वर्णनात्मक नहीं हैं ^{1 है} ।

मुझे क्यों लगता है कि यह आवश्यक है और मुझे क्यों लगता है कि यह महत्वपूर्ण है? क्योंकि आजकल विभिन्न प्रमाणीकरण / प्राधिकरण प्रोटोकॉल का समर्थन करना जरूरी हो गया है। यदि हम Authorizationइन सभी प्रोटोकॉल के लिए हेडर का उपयोग करने की योजना बनाते हैं , तो हमें अपनी सेवा को सुसंगत बनाना होगा। यह बताने का तरीका कि हम किस तरह का टोकन भेजते हैं और क्या प्राधिकरण प्रोटोकॉल लागू किया जाना चाहिए, हेडर में भी जाना चाहिए।

Authorization: Basic xxxx
Authorization: Digest xxxx
Authorization: Bearer xxxx
Authorization: ApiKey-v1 xxxx
Authorization: ApiKey-v2 xxxx

मैं इस बारे में परवाह नहीं करता था, लेकिन ऐप क्लाइंट ऐप के साथ काम करने के बाद जिनके अपडेट की गारंटी नहीं थी (मोबाइल और सेंसर ज्यादातर), मैंने शुरू किया। मैंने सुरक्षा को लागू करने के तरीके से अधिक सतर्क रहना शुरू कर दिया ताकि मैं ग्राहकों के साथ खिलवाड़ किए बिना और सर्वर की ओर से बहुत अधिक दर्द के बिना इसका विस्तार कर सकूं।

चिंताओं

मैंने अपनी योजनाओं को लागू करने में जिन समस्याओं का सामना किया है, वह एक टिप्पणी के समान है।

दूसरी ओर, मुझे एक विचार मिला कि एक कस्टम प्राधिकरण योजना कुछ ग्राहकों द्वारा अप्रत्याशित और असमर्थित हो सकती है और वैसे भी कस्टम कोड की ओर ले जा सकती है

ग्राहकों का कहना है , पुस्तकालयों, चौखटे, रिवर्स परदे के पीछे ।

लाभ

एक महत्वपूर्ण लाभ कैश है। साझा कैश हेडर को कैश नहीं करेगा (और यह निश्चित रूप से अच्छा है) जब तक कि आप अन्यथा न कहें।

तो प्राधिकरण या कस्टम हेडर?

अपने अनुभव के अनुसार, अपनी स्वयं की Authorizationयोजना को लागू करने से मुझे कस्टम प्राधिकारी शीर्षलेखों को लागू करने की तुलना में बहुत अधिक मात्रा में काम (या अधिक) हुआ है, डिजाइन की अधिक स्वतंत्रता और कैश पर अधिक नियंत्रण के साथ जब मैंने कस्टम हेडर का उपयोग किया है। कारण मूर्खतापूर्ण है, अधिकांश समय मेरे पास Cache-controlसेट है no-cacheया no-store, मुझे सर्वर को कॉल करने के लिए अनुमति देता है अधिक नियतात्मक (यह महत्वपूर्ण है जब यह ट्रैकिंग और परीक्षण की बात आती है) नेटवर्क की टोपोलॉजी की परवाह किए बिना।

^{1: मुझे यह उत्तर एपीआई कीज़ के बारे में बहुत स्पष्ट है}