如果你不加密API调用,你甚至连假装安全都做不到.
1。所有的REST API调用必须运行在使用可信的CA签名过的证书的HTTPS之上。所有客户端与服务端交互之间必须要验证服务端证书。
2。所有的REST API调用应该通过专门的API密钥完成,该密钥由标识成分和共享密钥两部分组成。系统必须允许一个指定客户端拥有多个活动的API密钥并能方便地让个别密钥失效。
3.所有的REST查询必须通过签名令牌签名的方式进行认证,该过程通过对按小写的字母顺序排序的查询参数使用私钥进行签名。签名应在查询字符串的URL编码前完成。
