Ich entwickle eine Web-API für meine eigenen Dienste. Da die API auf eine Reihe spezieller Benutzer beschränkt ist, muss ich die Anmeldeinformationen überprüfen.Api-Anmeldeinformationen über HTTP Auth, gute Idee?
Ich habe viele Beispiele von Zahlungs-Gateways wie Stripe gesehen, und sie verwenden eine einfache Methode zur Authentifizierung von Benutzern: Über eine https-Website senden sie ihren Benutzer "Token" über http Auth, und die Anfragedaten als GET/POST-Parameter. Dieses Benutzer-Token wird für jeden Benutzer generiert und kann jederzeit neu generiert werden.
Ist dies eine sichere Möglichkeit, den Zugriff auf meine API zu ermöglichen? Es scheint sehr einfach zu implementieren, aber ich kann keinen Fehler darin sehen, oder vielleicht verpasse ich etwas? Vielleicht ist die Verwendung eines asymmetrischen Krypto sicherer?
Danke!