banner
andrewji8

Being towards death

Heed not to the tree-rustling and leaf-lashing rain, Why not stroll along, whistle and sing under its rein. Lighter and better suited than horses are straw sandals and a bamboo staff, Who's afraid? A palm-leaf plaited cape provides enough to misty weather in life sustain. A thorny spring breeze sobers up the spirit, I feel a slight chill, The setting sun over the mountain offers greetings still. Looking back over the bleak passage survived, The return in time Shall not be affected by windswept rain or shine.
telegram
twitter
github
首頁封存

API key 和 token 有什麼區別?

#技术203
AI 翻譯
這篇文章透過AI由簡體中文翻譯成繁體中文查看原文
AI 生成的摘要
命名的难度在于如何让变量、常量、函数或类的定义清晰而简洁,而不应有歧义。如果我们不能清楚的看懂某个变量,那么这个变量的命名就不太准确。API key 和 token 就有这种问题,它们都是作为一种身份验证机制。前几天我在一次讨论中,有人提到这两个词可以互换使用。大约两分钟后,我不得不停止谈话并说“你们应该知道它们是不同的,对吧?”‍,说完会上鸦雀无声,显然他们不知道。事实证明,很多人都无法告诉我 API key 和 token 之间的区别。因此文本我将向大家介绍它们之间的区别。API key 是通过代码调用 API 时提供的值,用于识别和授权调用者。它旨在以编程方式使用,通常是一长串字母和数字。而 token 则代表用户会话或特定权限的一段数据,供个人用户在有限的时间内使用。两者的生成方式和权限范围也有所不同。API key 通常通过用户界面创建一次,并且在轮换之前可以一直使用,也可以选择配置为在一定时间后过期。而 token 在成功验证或登录成功时动态生成,通常过期时间较短,但可以刷新

命名的難度在於如何讓變數、常量、函數或類的定義清晰而簡潔,而不應有歧義。如果我們不能清楚地看懂某個變數,那麼這個變數的命名就不太準確。‍

API key 和 token 就有這種問題,它們都是作為一種身份驗證機制。前幾天我在一次討論中,有人提到這兩個詞可以互換使用。大約兩分鐘後,我不得不停止談話並說 "你們應該知道它們是不同的,對吧?"‍,說完會上鴉雀無聲,顯然他們不知道。事實證明,很多人都無法告訴我 API key 和 token 之間的區別。因此文本我將向大家介紹它們之間的區別。

image

定義#

我們可以通過以下定義來區分 API key 和 token。

1、API key — 通過程式碼調用 API 時提供的值,用於識別和授權調用者。它旨在以編程方式使用,通常是一長串字母和數字。
2、token — 代表用戶會話或特定權限的一段數據。供個人用戶在有限的時間內使用。

生成方式#

兩者之間的創建方法通常也不同。

1、API key — 通常通過用戶界面創建一次,並且在輪換之前可以一直使用,也可以選擇配置為在一定時間後過期。
2、token — 在成功驗證或登錄成功時動態生成。通常過期時間較短,但可以刷新較長時間。

權限範圍#

權限範圍是指授權部分或使用提供的身份驗證方法時可以執行哪些功能。

1、API key — 固定的、不變的應用程序功能權限集。誰擁有 API key 就可以訪問允許的資源。
2、token — 僅限於個人有權訪問的特定數據或功能。這可能會受到角色或其他業務級別要求的影響。往往更關注數據限制。

安全性#

它們的安全性如何?如果 API key 或者 token 被惡意用戶洩露或獲取,潛在的損害有多嚴重?

1、API key — 由於這些密鑰通常是長期存在的並且不限制對數據的訪問,因此如果被洩露,可能會造成毀滅性的後果。通常撤銷 API key 是解決問題的唯一手段。應用程序通常需要具有良好的可觀察性,以識別受損密鑰並找到惡意用戶。
2、token — 設計時考慮到了安全性。通常是短暫的並且很容易被撤銷。受損的令牌僅具有用戶有權訪問的數據範圍,並且將自動過期。

使用方式#

什麼時候你會使用其中一種而不是另一種呢?看起來他們在利弊之間取得了很好的平衡。

1、API key — 用於伺服器到伺服器之間的通訊,例如訪問天氣 API 等公共數據、與第三方系統集成。
2、token — 用於用戶身份驗證、細粒度訪問控制 (FGAC)、授予對資源的臨時訪問權限、瀏覽器訪問權限以及管理用戶會話。

舉個例子#

現在我們了解了兩者之間的區別,讓我們看一下使用 Momento JavaScript SDK 的兩個實際示例。

API key

上文提到過 API key 通常是在用戶界面創建的。考慮到隱私性,我沒有可以分享的實際 API key。不過以下是大家作為用戶如何通過 Momento 控制台獲取 API 密鑰的方法。‍

image
大家可以選擇所需的權限,設置可選的到期日期,然後點擊 Genergate Api Key。然後我們可以工作流程中使用該 API key。

token

與成功登錄時生成的基於用戶的一次性 token 進行對比。我們可以採用基於角色的示例,用戶可以只讀訪問日曆事件緩存,但可以發布和訂閱協作主題的訪問權限。

// called on successful login
exports.handler = async (event) => {
  const user = await loadUserMetadata(event.userId);
  let token;
  switch(user.role){
    case 'data-entry':
       token = await getDataEntryToken(user.tenantId);
        break;
    case 'admin':
      token = await getAdminToken(user.tenantId);
      break;
    default:
      throw new Error('Role not supported');
  }

  return token;
};

const getDataEntryToken = async (tenantId) => {
  const scope = {
    permissions: [
      {
        role: 'readonly',
        cache: 'calendar-events',
        item: {
          keyPrefix: tenantId
        }
      },
      {
        role: 'publishsubscribe',
        cache: 'collaboration',
        topic: `${tenantId}-events`
      }
    ]
  };

  const response = await authClient.generateDisposableToken(scope, ExpiresIn.minutes(15));
  return {
    token: response.authToken,
    expiresAt: response.expiresAt.epoch()
  };
};

以在此處看到,我們創建了一有效期為 15 分鐘的令牌,其權限範圍是日曆功能的只讀權限,並且僅允許訪問以用戶所屬的 tenantId 開頭的緩存項。因此,我們根據用戶的屬性限制了功能和數據。

總結
API key 和 token 各有優缺點。一個並不比另一個更好。在決定要應用哪種身份驗證機制時,請結合你的應用場景來進行選擇。如果是用在用戶會話的身份驗證場景時,可以使用 token。如果是給第三方系統提供介面需要身份驗證時,可以使用 API key。

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。