Nie znalazłem przyznam podobnej dyskusji w Sieci, może pomysł jest z kosmosu.
Chcę napisać proste API z autoryzacją. Planuję oprzeć ją o klucze publiczne/prywatne i liczenie hasha.
Nasuwa mi się jedno pytanie - wiele API które widziałem podaje w url /username/ a jednocześnie wysyła klucz publiczny. Po co? Chcę zostawić username w adresie (jest unique) i w takim wypadku zrezygnować z klucza publicznego. Czy to zgodne ze sztuką?
Moim zdaniem zależy od funkcjonalności jaką chcesz osiągnąć.
Jeśli tylko jeden użytkownik ma prawo zmieniać swoje dane to niech jego nazwa będzie swego rodzaju kluczem publicznym ale przykładowo chcesz dać możliwość edycji danych danego użytkownika więcej niż jednej osobie/aplikacji - jak to rozróżnisz?
w skrócie:
username - aby sprecyzować o kogo dane chodzi
public key - aby sprecyzować kto te dane edytuje
No bo dlaczego masz ograniczać dostęp do danych tylko dla jednej osoby/aplikacji?
Specjalistą nie jestem ale taka moja pierwsza myśl :)
@brodka - pełna zgoda. W moim przypadku jedynym zainteresowanym jest sam user, natomiast łatwo sobie wyobrazić scenariusz, w którym username byłby okresleniem zasobu, na jakim ma być wykonana operacja, a klucz publiczny określa kto i z jakimi uprawnieniami probuje tę operację wykonać.