昨天這篇文章Edusoho之Basic Authentication提到了X-Auth-Token。今天我主要講的是Edusoho之X-Auth-Token的請求API方式。
至於為什么建議不要用HTTP Basic Authentication,上面這篇文章已經說清楚了。
不過我還是要強調一下這一點。因為本篇文章就是着重說這個的。下面進入正文:
還是以Edusoho對外API為例:
curl-X POST -H "Accept:application/vnd.edusoho.v2+json" -H "X-Auth-Token: nzGrtcsDsrFzrId2hoLYfUafskRJ0pb9" http://demo.edusoho.com/api/tokens
初看時,我不太明白這個X-Auth-Token是如何產生的,為此我通過搜索引擎搜了又搜,仍然找不到我想要的答案。
隨后我轉念一想,也許Http Basic Authentication與X-AUTH-Token存在某種聯系。
於是我用Http Basic Authentication的方式請求獲取對應的數據后,如圖:
然后我將這個token復制,隨后再使用X-AUTH-TOKEN的方式請求其它Edusoho API,發現我的猜想果然是對的(成功請求並獲取對應的數據),如圖:
如果要說為什么要使用X-Auth-Token這種方式請求需要認證的接口數據,我經過測試接口對比(使用Http Basic Authentication的方式和X-Auth-Token方式),得出的結論如下:
正如一些博文的作者所倡導的那樣,之所以不建議使用Basic Authentication的方式是因為對於需要認證的接口,每次請求都需要攜帶用戶名和密碼(base64加密的,同時也可以解密,存在極大的安全風險)。而X-AUTH-TOKEN就顯得安全的多,因為只需第一次這樣做,隨后拿到對應的token后,就不必這樣做了。而且這個token並不是base64,至於是什么我也不知道(我用了在線加解密網站解密(acs,des等),都發現解密不了),由此可見X-AUTH-TOKEN還是要比HTTP Basic Authentication這種認證方式要安全的多。