he encontrado bastantes preguntas sobre este tema en SO, pero no pudieron encontrar ninguna respuesta a esta pregunta: ¿de autenticación de API REST
¿Debo validar a los usuarios con su nombre de usuario y contraseña, o con una clave de API? Y cuáles son los pros y los contras de cada método.
Pregunto esto porque en mi API, hay un par de métodos que me gustaría bloquear y verificar que el usuario tenga acceso a algún documento o acción. Soy un poco reacio a autenticar al hacer que el usuario envíe un encabezado HTTP AUTH con su nombre de usuario y contraseña porque no se siente seguro y es un poco más molesto para el usuario. Por otro lado, sin embargo, si uso una clave API, ¿cuál es el punto de que el usuario cree una contraseña? Como ya no lo usarán para acceder a las características de la API.
ACTUALIZACIÓN
Si otros lectores de esto son curiosidad por lo que terminé usando, decidí copiar la forma en Amazon hace su validación (buena explicación here: https://www.ida.liu.se/~TDP024/labs/hmacarticle.pdf)
Apreciar la ACTUALIZACIÓN. Gracias. –
El enlace está roto, por favor considere actualizarlo. Enlace actualizado: https://www.ida.liu.se/~TDP024/labs/hmacarticle.pdf –
enlace: http://acaasia.blogspot.co.il/2013/04/designing-secure-rest-web- api-without.html – OhadR