问将REST托管在公共网站的同一台服务器上？

EN

您的API是公共API，还是意味着它是私有的？--如果是私有的，那么理想情况下，它需要隐藏在防火墙后面，这样才能完全隐藏在web上。

域:但是，从长远来看，出于以下几个原因，将其放到子域通常比较容易，更明确的是，它是站点的一个子部分，如果需要扩展、负载平衡等等，则更容易移到另一个服务器。

但是，关于安全性，风暴路径有一篇很好的关于REST安全的文章，作为一般规则。

• API键比用户名和密码更安全。
• 临时会话密钥使得截获API密钥的可能性降低。因此，API键+日期时间戳生成会话密钥，然后将其用于后续调用。Oauth2有这些模式。
• TLS (SSL)是API上的一个很好的附加措施。