一、概念 5 秒掃盲

二、4 把常用鑰匙對比

下面展開講“怎么玩”和“怎么踩坑”。

三、HTTP 基本認證 & 承載認證

1. Basic

Authorization: Basic am9objoxMjM0NTY=

• 簡單到令人發(fā)指，但 Base64 可逆，必須套 TLS
• 適合開發(fā)/測試或嵌入式設(shè)備的一次性配置

2. Bearer

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

• 令牌由服務(wù)端簽發(fā)，生命周期可長可短
• 最初是 OAuth 2.0 的“訪問令牌”，但可單獨使用
• 切記：只通過 HTTPS 傳輸，否則中間人笑納

懶得手寫驗簽？對 代碼生成 說“用 Go 寫個 Bearer 中間件帶刷新邏輯”，秒出可編譯代碼 + 單測。??

四、API Key：一把鑰匙開一扇門

• 可放 Header、Query 或 Body，推薦 Header

  Authorization: Apikey 1234567890abcdef

• 適合“讀多寫少”的開放 API（天氣、匯率、食譜）
• 風(fēng)險：鑰匙泄露 = 永久通行證 → 必須支持“吊銷 & 輪換”

輪換策略搞不清？讓 代碼優(yōu)化 幫你把“定時任務(wù) + 雙密鑰緩沖”模板跑一遍，性能與安全兼得。?

五、OAuth 2.0：第三方場景的“黃金標(biāo)準(zhǔn)”

1. 核心角色

• Resource Owner（用戶）
• Client（第三方 App）
• Authorization Server（發(fā)令牌）
• Resource Server（API）

2. 四種授權(quán)流（選流不迷路）

3. 令牌種類

• 訪問令牌（Access Token）：短壽命，≤5 分鐘常見
• 刷新令牌（Refresh Token）：長壽命，存后端，可一次性吊銷

想給老板匯報“OAuth 實施進度”？用 開發(fā)任務(wù)管理系統(tǒng) KPI 輸入“3 個月內(nèi)完成授權(quán)碼 + PKCE 上線”，自動拆解成周任務(wù)、人天、驗收標(biāo)準(zhǔn)。??

六、OpenID Connect：給 OAuth 加一張身份證

• 在 OAuth 2.0 之上封裝一層“身份令牌”ID Token（JWT 格式）
• 客戶端可一次性拿到“訪問權(quán)限”+“用戶資料”（昵稱、郵箱）
• 支持會話管理、注銷回調(diào)、加密身份數(shù)據(jù)

一句話：如果既需要“授權(quán)”又需要“告訴我他是誰”，直接用 OIDC，別再自己拼裝 JWT。

七、在 OpenAPI 里聲明安全方案

components:
  securitySchemes:
    bearerAuth:
      type: http
      scheme: bearer
    oauth2:
      type: oauth2
      flows:
        authorizationCode:
          authorizationUrl: https://example.com/oauth/authorize
          tokenUrl: https://example.com/oauth/token
          scopes:
            read: Grants read access
            write: Grants write access

• 文檔即代碼，前端/網(wǎng)關(guān)/測試工具一次解析，全程自動化
• 多方案并存時，用 security: - bearerAuth: [] - oauth2: [read] 給出降級順序

寫 YAML 太易出錯？把需求句“用 OpenAPI 3.1 描述 OAuth2 授權(quán)碼流”喂給 代碼文檔生成器，秒出帶注釋的規(guī)范片段，復(fù)制即可用。??

八、總結(jié)：一張圖選對鑰匙

1. 內(nèi)部測試 → HTTP Basic + TLS（別上生產(chǎn)）
2. 第一方 App → Bearer Token（短壽命 + 刷新）
3. 只讀開放數(shù)據(jù) → API Key（Header 傳輸 + 定期輪換）
4. 第三方 / 復(fù)雜權(quán)限 → OAuth 2.0（授權(quán)碼 + PKCE）
5. 既要授權(quán)又要身份 → OpenID Connect

安全沒有銀彈，只有“合適場景 + 合適鑰匙 + 持續(xù)巡檢”。把重復(fù)勞動交給 AI，把精力留給業(yè)務(wù)創(chuàng)新，才能既快又穩(wěn)。??

原文鏈接: https://blog.restcase.com/4-most-used-rest-api-authentication-methods/