wie @ Mike erwähnt, die OAuths sind komplexe API, und noch wichtiger, erfordern einen dritten Service-Endpunkt ausgeführt wird, um die Authentifizierung/Autorisierung für den Zugriff bereitzustellen.
One denken Sie auf jeden Fall nicht möchten Sie tun, ist der API-Schlüssel in der URL enthalten. Dies wird sehr einfach wiedergegeben und/oder gefälscht und durch Proxies identifiziert und in Logfiles festgehalten. Eine bessere Lösung besteht darin, den API-Schlüssel als zusätzlichen HTTP-Header in Ihre Anfrage aufzunehmen und nach diesem spezifischen Wert in Ihrem API-Endpunkt zu suchen.
Für einen einfachen Anwendungsfall, wie Sie es vorschlagen, könnte es sich lohnen, den API-Aufruf mit einem Schlüssel zu authentifizieren, den Sie als gemeinsames Geheimnis zwischen Ihrer Android-App und dem API-Endpunkt behalten. Wenn Sie diese Route nehmen, ist es nicht leicht zu ändern, und wenn kompromittiert wird, bedeutet das eine echte PITA, um einen neuen Schlüssel zu aktivieren und an Ort und Stelle zu bringen.
Wenn Sie ein "shared secret" verwenden, dann empfehle ich, es relativ einfach zu machen (oder zumindest einige UI zu haben), damit der Benutzer diesen Schlüssel aktualisieren kann, falls er kompromittiert ist. Ich nehme an, dass Sie Ihren Web-Service relativ einfach aktualisieren können. Dieser Prozess ist nicht so sicher wie OAuth oder OAuth2, ist jedoch einfacher und schneller zu implementieren und bietet dennoch ein angemessenes Maß an Sicherheit (wobei Sicherheit in diesem Fall bedeutet, dass Sie auf diese API zugreifen dürfen).
Ist der Hauptgrund, dass Sie mit einem API-Schlüssel authentifizieren möchten, um Ihre Daten zu sichern, oder ist es nur die Verwendung zu überwachen? Es gibt einfache Methoden zum Generieren und Verwenden eines API-Schlüssels zur Überwachung der Verwendung und detailliertere Authentifizierungsmethoden, z. B. die Verwendung von OAuth, um Ihre Daten sicherer zu machen. – Mike
Ich möchte meine Daten sicherer halten .... Wie werde ich den oAuth machen? –
Wenn dies der Sicherheit dient, ist das Schlimmste, was Sie tun können, Ihre eigene Lösung zu rollen. Es ist immer besser, ein bewährtes Paket wie OAuth zu verwenden. Sie haben bereits Dinge festgelegt, von denen Sie noch nicht wussten, dass sie ein Problem darstellen. – jairbow