API认证方式有Basic Auth和OAuth
1.Basic Auth比较好理解,就是每次请求API时都提供用户的username和password,使用简单,开发和调试工作简单,没有过多的复杂页面跳转逻辑和交互过程;但是安全性低,每次都需要传递username和password,很大程度上存在被监听盗取的可能,同时应用本身还需要保存用户名和密码,在应用本身的安全性来说,也存在很大问题.
2.OAuth为用户资源的授权提供了一个安全,开放的标准,微信平台,微博,豆瓣等都提供对它的支持;安全性高,用户的username和password只需提供一次,Access Token访问权限仅限于应用,Access Token即使被监听丢失了随时可以撤销,用户修改了密码不会影响该应用的正常使用.
本文主要介绍小程序与第三方API接口对接的简单方式,先尝试使用Basic Auth进行验证,小O会在后期加上OAuth的验证方式,本文仅供参考,如有问题欢迎交流.
1.第一步是开启一个基于Basic Auth的API服务,如果服务正确的话,在访问的时候会弹出”需要进行身份验证”的对话框
2.在每次请求的时候往header头添加一个经过base64加密后的username和password信息,js可以使用btoa的函数,在小程序需要用到第三方js库,如图
3.在加上小程序的开发接口wx.login,这样的安全性就增加很大
现在开发的习惯,初期先出demo,然后随着业务的发展,在不断的完善.
