Pentru consumul de API-uri bazate pe chei de securitate, adesea platite, apelurile ar trebuie efectuate din web server nu din browserul client.
Cheile de securitate ar trebui pastrate pe web server in afara root-ului pentru a nu fi accesibile public.
Initierea apelului se poate face din browser, de exemplu prin Ajax, iar scriptul (ex. PHP) responsabil de apelul catre serverul API va culege in prealabil cheia de securitate din fisierul depozitare a cheilor localizat deasupra Root-ului.
Fisierul de stocare a cheilor de securitate contine vectorul sau json-ul serializat si eventual codat base64 pentru a evita o copiere a cheilor in mod simplu la un acces neautorizat pe serverul web.
In tehnologia PHP, apelul catre API poate fi efectuat prin intermediul bibliotecii cUrl.
In aceasta organizare a unui sistem consumator API, cheile de securitate nu vor fi interceptate la nivelul comunicarii cu browserul evitandu-se astfel consumul neautorizat de apeluri platite catre interfata de aplicatie.
Sper ca aceste consideratii vor fi utile pentru proiectarea infrastructurii unui sistem de consum servicii web livrate prin intermediul API-urilor.
Toate cele bune!
