1. 基本身份驗(yàn)證（Basic Auth）??

a. 工作原理 ??

• 用戶名:密碼 → Base64 → Authorization: Basic bWFnZ2llOnN1bW1lcnM=
• 服務(wù)端解碼后驗(yàn)證 → 200 / 401

b. 優(yōu)缺點(diǎn) ??

? 實(shí)現(xiàn)極簡，適合內(nèi)部快速原型
? 明文等價(jià)傳輸，必須 HTTPS；無法細(xì)粒度授權(quán)

c. 實(shí)戰(zhàn) curl ??

curl --request GET \
  --url https://hostname/personnel/v1/emp-deductions \
  --header "Authorization: Basic PFVTRVJOQU1FPjo8UEFTU1dPUkQ+"

提交前跑「代碼審查助手」：提示強(qiáng)制 TLS 1.3，否則等同裸奔 ??

2. API 密鑰（API Key）??

a. 工作原理 ??

• 服務(wù)端生成長串隨機(jī)字符 → 配發(fā)給客戶端
• 請(qǐng)求頭/查詢字符串帶 x-api-key: abcdef12345
• 網(wǎng)關(guān)比對(duì) → 授權(quán)

b. 優(yōu)缺點(diǎn) ??

? 易生成、易撤銷；APM 全支持
? 泄露即全局權(quán)限；缺乏細(xì)粒度 scope

c. 實(shí)戰(zhàn) curl ??

curl --location 'https://api.teamtailor.com/v1/jobs' \
  --header 'Authorization: Token token=od71S1zmxWetVvzz6ovSeznEPb-OdsZZSX9EeBi9'

用「代碼生成」3 秒生成 Spring Cloud Gateway 統(tǒng)一校驗(yàn)配置，零侵入業(yè)務(wù) ?

3. OAuth 2.0 ??

a. 工作原理 ??

• 授權(quán)碼模式：用戶登錄 → 授權(quán)服務(wù)器發(fā) code → 換 access_token
• 后續(xù)請(qǐng)求帶 Authorization: Bearer {token}

b. 優(yōu)缺點(diǎn) ??

? 細(xì)粒度 scope；短期令牌+刷新機(jī)制
? 握手多、實(shí)現(xiàn)復(fù)雜；舊系統(tǒng)改造成本高

c. 實(shí)戰(zhàn) curl ??

curl -X POST https://oauth.platform.intuit.com/oauth2/v1/tokens/bearer \
  -H 'Authorization: Basic Y2xpZW50X2lkOmNsaWVudF9zZWNyZXQ=' \
  -d 'grant_type=authorization_code&code=abc123&redirect_uri=https://yourapp.com/callback'

用「代碼優(yōu)化」把同步令牌校驗(yàn)改本地緩存 + 異步刷新，P99 從 200 ms → 50 ms ??

4. OpenID Connect (OIDC) ??

a. 工作原理 ??

• 在 OAuth 之上加身份層 → 返回 ID Token（JWT）
• 支持單點(diǎn)登錄（SSO）跨域身份驗(yàn)證

b. 優(yōu)缺點(diǎn) ??

? 標(biāo)準(zhǔn)化用戶字段（sub、email、groups）；SSO 開箱即用
? 僅做身份驗(yàn)證，不直接授權(quán) CRUD

c. 實(shí)戰(zhàn) curl ??

curl --location 'https://<okta-domain>/oauth2/v1/authorize?client_id=<id>&response_type=code&scope=openid groups&state=mystate&nonce=mynonce'

用「代碼文檔生成器」自動(dòng)生成 OIDC 流程圖與 SDK 調(diào)用示例，前端 5 分鐘接入 ???

5. 集成系統(tǒng)用戶 (ISU) ??

a. 工作原理 ??

• 為程序化訪問創(chuàng)建專屬用戶賬號(hào) → 用戶名+密碼拿會(huì)話
• 適合企業(yè) ERP、HR 系統(tǒng)對(duì)賬

b. 優(yōu)缺點(diǎn) ??

? 審計(jì)軌跡清晰；可綁定角色
? 憑據(jù)存儲(chǔ)風(fēng)險(xiǎn)；密碼輪換成本高

c. 實(shí)戰(zhàn) curl ??

curl --location 'https://wd2-impl-services1.workday.com/ccx/service/{TENANT}/Human_Resources/v40.1' \
  --header 'Content-Type: application/xml' \
  --data '{ISU_USERNAME}{ISU_PASSWORD}'

上線前跑「代碼審查助手」：提示禁止把密碼硬編碼在 CI 腳本 ?

6. HMAC（基于哈希的消息認(rèn)證碼）??

a. 工作原理 ??

• 客戶端使用共享密鑰對(duì)「請(qǐng)求方法 + URI + 時(shí)間戳 + 正文」做哈希 → 生成簽名
• 服務(wù)端用相同密鑰重新計(jì)算，摘要一致即認(rèn)證通過

b. 優(yōu)缺點(diǎn) ??

? 密鑰不隨請(qǐng)求傳輸，防竊聽；可驗(yàn)證消息完整性
? 密鑰分發(fā)與管理復(fù)雜；時(shí)鐘同步要求嚴(yán)格

c. 實(shí)戰(zhàn)偽代碼 ??

sig = base64(hmac_sha256(key, f"{method}\n{path}\n{timestamp}\n{body}"))
headers = {"X-Signature": sig, "X-Timestamp": timestamp}

用「代碼生成」一鍵生成 Python/Node/Go 多語言簽名模板，跨團(tuán)隊(duì)零成本對(duì)接 ??

7. 證書簽名請(qǐng)求 (CSR) ??

a. 單向 TLS（服務(wù)器證書）??

• 客戶端驗(yàn)證服務(wù)器身份 → 防止中間人
• 配置簡單，瀏覽器默認(rèn)信任

b. 雙向 TLS（mTLS）??

• 客戶端也提供證書 → 雙方相互驗(yàn)證
• 適用于銀行、支付、IoT 高敏場景

c. 優(yōu)缺點(diǎn) ??

? 私鑰不出設(shè)備，抗釣魚；吊銷列表實(shí)時(shí)同步
? 證書申請(qǐng)、續(xù)期、輪換流程重；成本高

8. 選型速查表 ??

9. 安全加固 checklist ?

1. HTTPS 全鏈路 – TLS 1.3 + HSTS
2. 密鑰/令牌輪換 – 用「代碼生成」自動(dòng)生成輪換腳本 ?
3. 最小權(quán)限 & RBAC – 網(wǎng)關(guān)層按角色限流
4. 監(jiān)控 & 日志 – 認(rèn)證失敗事件進(jìn) ELK，告警閾值 5xx ≥ 5 % ??
5. 速率限制 – 基于 Key/IP 的漏桶算法，防爆破 ??

10. 結(jié)論 & 行動(dòng)清單 ??

• 原型/只讀 → API Key + 短期 TTL
• 第三方集成 → OAuth 2.0 + PKCE
• 高完整性 → HMAC 簽名
• 金融級(jí) → mTLS 雙向證書

立即收藏 5 款 AI 提效神器：

• 「代碼生成」→ 3 分鐘生成 HMAC 簽名、Spring Security 配置
• 「代碼審查助手」→ 攔截硬編碼密鑰、弱驗(yàn)簽
• 「代碼優(yōu)化」→ 把同步鑒權(quán)改緩存+異步，性能↑
• 「代碼文檔生成器」→ 自動(dòng)生成 OAuth/HMAC 流程圖與 SDK 示例
• 「開發(fā)任務(wù)管理系統(tǒng)KPI」→ 讓令牌泄露率、認(rèn)證耗時(shí)寫進(jìn) OKR，持續(xù)追蹤

選對(duì)認(rèn)證方式，今天就把 API 大門鎖好，讓攻擊者無縫可鉆！??

原文鏈接: https://www.apideck.com/blog/api-auth-authentication-methods-and-examples