Propósito de usar la clave API además de la contraseña

3

Se sugirió a mi compañero de trabajo ya mí que protegiéramos con contraseña nuestra API además de requerir una clave API. Esto no parece estar haciendo nada más seguro, ya que si la amenaza obtuvo acceso a nuestra clave API, probablemente también obtuvieron acceso a la contraseña.

¿Es esta práctica estándar asegurar con una clave API y una contraseña? He buscado por todas partes pero no he visto nada que sugiera hacerlo.

    
pregunta Timothy James 15.11.2017 - 01:07
fuente

1 respuesta

1

El punto de una clave API es autenticar (o al menos identificar) la aplicación, no el usuario. Algo llamado una "clave de API" normalmente no determina a qué datos puede acceder una solicitud, sino cuántas solicitudes se pueden realizar en un cierto intervalo de tiempo a través de una cuenta de usuario determinada. Es una forma de imponer cuotas de acceso, para evitar la denegación de servicio, sin bloquear por completo a un usuario simplemente porque ha utilizado una aplicación con errores o la ha utilizado un poco más de lo que le gustaría.

Si su API sirve datos públicos, no hay razón para tener una contraseña además de la clave API. La clave API es la contraseña, en este caso.

    
respondido por el Gilles 15.11.2017 - 01:30
fuente

Lea otras preguntas en las etiquetas