Estoy haciendo una API para mi propio software. La API utilizada actualmente para registrar usuarios, ver información de usuarios y actualizar información de usuarios.
En el futuro se utilizará para facturación, soporte, etc. ...
La API actualmente se puede ver en línea, solo la seguridad actualmente es que para ver o actualizar la información de los usuarios que necesita para conocer su ID única, que es un número aleatorio entre 1 Billion y 2 Billion.
El único cliente para mi API será mi propio front-end que aún no he escrito.
Leí sobre HMAC y OAuth y ambas soluciones parecían extremadamente complicadas.
Estas son mis ideas actuales para mantener mi API segura:
1. Use HTTPS for all requests.
2. Don't tell anyone the address of the API (I know I probably shouldn't rely on this)
3. Send an access key and a secret key to the API and the
API sends back a token that is valid for 1 hour. (Maybe less)
¿La clave de acceso, la clave secreta y HTTPS serían suficientes para proteger mi API?