কোথায় এপিআই কী স্থাপন করবেন: একটি কাস্টম স্কিম সহ একটি কাস্টম এইচটিটিপি শিরোনাম ভিএস অনুমোদনের শিরোনাম

আমি একটি API কী এর মাধ্যমে অনুমোদন / প্রমাণীকরণ ব্যবহার করে একটি REST এপিআই ডিজাইন করছি।

আমি এটির জন্য সর্বোত্তম জায়গাটি কী তা নির্ধারণ করার চেষ্টা করেছি এবং জানতে পেরেছি যে অনেকে একটি কাস্টম এইচটিটিপি শিরোনাম যেমন ProjectName-Api-Key, যেমন:

ProjectName-Api-Key: abcde

তবে এটি Authorizationকাস্টম স্কিম সহ শিরোনামটি ব্যবহার করা সম্ভব এবং আদর্শগতভাবে সঠিক , যেমন:

Authorization: ApiKey abcde

অন্যদিকে, আমি একটি বিবেচনা পেয়েছি যে একটি কাস্টম অনুমোদন প্রকল্পটি কিছু ক্লায়েন্টদের দ্বারা অপ্রত্যাশিত এবং অসমর্থিত হতে পারে এবং যাইহোক কাস্টম কোডের দিকে পরিচালিত করে, তাই ক্লায়েন্টদের সম্পর্কে কোনও প্রত্যাশা না থাকায় একটি কাস্টম শিরোনাম ব্যবহার করা ভাল।

আপনি কোন উপায় একটি API কী প্রেরণ করতে পছন্দ করবেন?

আপনি যদি অনুমোদন ব্যবহার করেন তবে সামঞ্জস্য বজায় রাখুন

অনেকেই এই তর্ক করবে নিম্নলিখিত (অপ্রয়োজনীয় অত্যন্ত দীর্ঘ আগে আমি তাদের সঙ্গে একমত হবে এবং ) কিন্তু, এই দিন, যদি আমরা ব্যবহার Authorizationহেডার আমরা জানাতে হবে টাইপ কারণ, টোকেন এর API কীগুলির স্ব-বর্ণনামূলক কোনটাই নয় ^ঘ ।

আমি কেন এটি প্রয়োজনীয় মনে করি এবং কেন এটি গুরুত্বপূর্ণ মনে করি? কারণ আজকাল বিভিন্ন প্রমাণীকরণ / অনুমোদন প্রোটোকল সমর্থন করা আবশ্যক হয়ে উঠেছে। যদি আমরা Authorizationএই সমস্ত প্রোটোকলের জন্য শিরোলেখ ব্যবহার করার পরিকল্পনা করি তবে আমাদের লেখক পরিষেবাটিকে সামঞ্জস্য করতে হবে। আমরা কী ধরণের টোকেন প্রেরণ করি এবং কোন অনুমোদন প্রোটোকল প্রয়োগ করা উচিত তা যোগাযোগের উপায়টিও শিরোনামের মধ্যে।

Authorization: Basic xxxx
Authorization: Digest xxxx
Authorization: Bearer xxxx
Authorization: ApiKey-v1 xxxx
Authorization: ApiKey-v2 xxxx

আমি এটির যত্ন নিই না, তবে অ্যাপ্লিকেশন ক্লায়েন্ট অ্যাপগুলির সাথে কাজ করার পরে যাদের আপডেটগুলি নিশ্চিত নয় (বেশিরভাগ মোবাইল এবং সেন্সর), আমি শুরু করেছিলাম। সুরক্ষা কার্যকর করার পথে আমি আরও সচেতন হতে শুরু করেছি যাতে ক্লায়েন্টদের সাথে গোলযোগ না করে এবং সার্ভারের দিক থেকে খুব বেশি ব্যথা না করে আমি এটিকে প্রসারিত করতে পারি।

উদ্বেগ

আমার নিজের প্রকল্পগুলি বাস্তবায়নের জন্য যে সমস্যার মুখোমুখি হয়েছিলাম, মন্তব্যগুলির মতো।

অন্যদিকে, আমি একটি বিবেচনা পেয়েছি যে একটি কাস্টম অনুমোদন প্রকল্পটি কিছু ক্লায়েন্টদের দ্বারা অপ্রত্যাশিত এবং অসমর্থিত হতে পারে এবং যাইহোক কাস্টম কোডের দিকে নিয়ে যায়

ক্লায়েন্টদের বলুন , লাইব্রেরি বলুন , ফ্রেমওয়ার্ক করুন, প্রক্সি বিপরীত করুন ।

সুবিধাদি

একটি গুরুত্বপূর্ণ সুবিধা ক্যাশে হয়। ভাগ না হওয়া ক্যাশেগুলি শিরোনামকে ক্যাশে করবে না (এবং এটি অবশ্যই ভাল) আপনি অন্যথায় না বললে।

তাই অনুমোদন বা কাস্টম শিরোনাম?

আমার অভিজ্ঞতা অনুসারে, আমার নিজের Authorizationপ্রকল্পটি বাস্তবায়ন আমাকে কাস্টম অনুমোদনের শিরোনামগুলি প্রয়োগ করার চেয়ে খুব বেশি পরিমাণে কাজ (বা আরও) নিয়েছে, যখন আমি কাস্টম শিরোনাম ব্যবহার করেছি তখন ডিজাইনের আরও স্বাধীনতা এবং ক্যাশে আরও নিয়ন্ত্রণের সামান্য পার্থক্য রয়েছে। নেটওয়ার্কটি টপোলজি নির্বিশেষে বেশিরভাগ সময় আমার সার্ভারে কলগুলি আরও ডিটারমিনিস্টিক (যখন এটি ট্র্যাকিং এবং টেস্টিংয়ের ক্ষেত্রে আসে তখন গুরুত্বপূর্ণ) ক্যাপচার Cache-controlস্থাপন করার no-cacheবা সেট করার বেশিরভাগ সময় আমি নির্বোধ no-store।

^{1: আমি এপিআই কী সম্পর্কিত এই উত্তরটি খুব স্পষ্ট বলে মনে করি}