昨天这篇文章Edusoho之Basic Authentication提到了X-Auth-Token。今天我主要讲的是Edusoho之X-Auth-Token的请求API方式。git
至于为何建议不要用HTTP Basic Authentication,上面这篇文章已经说清楚了。github
不过我仍是要强调一下这一点。由于本篇文章就是着重说这个的。下面进入正文:
仍是以Edusoho对外API为例:json
curl-X POST -H "Accept:application/vnd.edusoho.v2+json" -H "X-Auth-Token: nzGrtcsDsrFzrId2hoLYfUafskRJ0pb9" http://demo.edusoho.com/api/tokens
初看时,我不太明白这个X-Auth-Token是如何产生的,为此我经过搜索引擎搜了又搜,仍然找不到我想要的答案。api
随后我转念一想,也许Http Basic Authentication与X-AUTH-Token存在某种联系。安全
因而我用Http Basic Authentication的方式请求获取对应的数据后,如图:app
而后我将这个token复制,随后再使用X-AUTH-TOKEN的方式请求其它Edusoho API,发现个人猜测果真是对的(成功请求并获取对应的数据),如图:curl
若是要说为何要使用X-Auth-Token这种方式请求须要认证的接口数据,我通过测试接口对比(使用Http Basic Authentication的方式和X-Auth-Token方式),得出的结论以下:
正如一些博文的做者所倡导的那样,之因此不建议使用Basic Authentication的方式是由于对于须要认证的接口,每次请求都须要携带用户名和密码(base64加密的,同时也能够解密,存在极大的安全风险)。而X-AUTH-TOKEN就显得安全的多,由于只需第一次这样作,随后拿到对应的token后,就没必要这样作了。并且这个token并非base64,至因而什么我也不知道(我用了在线加解密网站解密(acs,des等),都发现解密不了),因而可知X-AUTH-TOKEN仍是要比HTTP Basic Authentication这种认证方式要安全的多。测试