已經(jīng)開發(fā)好了一套 RESTful API 接口����,方便PC端和APP端調(diào)用�����,只進(jìn)行了 session 認(rèn)證,每次調(diào)用 API 都會檢查當(dāng)前 session 中是否存在 uid�,也就是判斷是否已經(jīng)有用戶登錄了,這樣可以防止未登錄的用戶調(diào)用API接口�����,但這樣設(shè)計肯定有問題����,所以我想用 token 方式認(rèn)證,類似于 github 的 token 認(rèn)證�����,在調(diào)用 API 時攜帶 token 進(jìn)行認(rèn)證���,這樣不需要用戶登錄也可以對用戶進(jìn)行鑒權(quán)認(rèn)證���。
想法雖然很好,但遇到了一個問題�����,我的這套 API 接口不僅提供給其他開發(fā)者使用,我自己網(wǎng)站也在使用���,比如主頁顯示所有用戶,api 為 http://api.example.com/users, 我會在前端用 fetch 請求 http://api.example.com/users����,得到返回值后在主頁顯示所有用戶信息。如果我使用 token 認(rèn)證��,那 http://api.example.com/users 這個 API 地址也要加上 token���,但這又是網(wǎng)站使用��,并非第三方開發(fā)者使用�,那這個 token 用誰的呢�����,肯定不能用某個開發(fā)者的����,那就只能用一個公共的 token,但一旦在PC端API請求時加上了這個公共 token,只要打開開發(fā)者工具這個 token 就人盡皆知了,也就失去了認(rèn)證的意義了。
我看了 github 的做法���,他的前臺頁面數(shù)據(jù)讀取都沒有使用 api 接口獲取數(shù)據(jù)�����,而是直接返回一個頁面的����,包含html和css�,比如讀取我的 star 項目,github 請求的 url 是 https://github.com/joyran?pag...�,而如果用 api 獲取數(shù)據(jù)則為 https://api.github.com/users/...,api 只返回數(shù)據(jù)����,而上面那個地址返回完整頁面。這樣用戶即使知道了這個地址 https://github.com/joyran?pag...��,但苦于返回的是完整頁面��,只能通過正則表達(dá)式或者其它方法提取出自己想要的數(shù)據(jù)����,增加了難度���。這種方法對于我而已一個不好的地方是要寫兩套接口,一個是API只返回數(shù)據(jù)�����,另外一個返回完整頁面��,但是我的前臺是React + Redux 開發(fā)的�,所有的數(shù)據(jù)請求都是 fetch API接口��,然后更新 store 從而更新頁面視圖����,如果fetch返回的數(shù)據(jù)是一個完整頁面,我無法更新 store����。
還看了下知乎的設(shè)計,改版后的知乎也是基于React + Redux開發(fā)的�,前臺數(shù)據(jù)的獲取也是通過請求API然后更新store的,知乎的API在請求時沒有認(rèn)證�,可以任意使用,比如 https://www.zhihu.com/api/v4/... 讀取前端話題下的討論��,這種方式API就沒有認(rèn)證了,所有人都可以使用�����。
所以問題來了����,知乎那樣設(shè)計是不是因為你本來就可以在PC端任意瀏覽話題下的討論,我沒有必要限制你API訪問���,畢竟你不用API不用鑒權(quán)也可以看到話題下的討論�����,但是知乎用這種方式很容易讓它的API����,而且由于API沒有認(rèn)證和訪問限制��,第三方開發(fā)者可以利用這個API開發(fā)一些知乎第三方應(yīng)用了���。
我的需求是自己和第三方開發(fā)者以及移動APP或者微信小程序等公用一套API接口����,第三方開發(fā)者在PC端使用開發(fā)者工具分析出API接口后想要調(diào)用必須申請token才能訪問,應(yīng)該怎么設(shè)計��,謝謝�����。
