Bonjour,

Je dois créer une API REST pour une application web en utilisant le framework FuelPHP (super framework, au passage).

Aucun soucis dans tout ce qui est fonctionnement de l'API. Cependant, avant de me lancer concrètement dans la réalisation de l'API, je voudrais savoir exactement comment je dois sécuriser celle-ci.

Dans un premier temps, l'API sera privée, elle ne sera utilisée que par mon serveur, et non pas par différents utilisateurs.

Je me suis beaucoup documenté, voilà ce que j'en ai retenu :

La manière la plus fiable de sécuriser les requêtes d'une API est d'utiliser une signature unique pour chaque requête (comme c'est très bien expliqué dans ce lien) comme le fait Amazon Web Service.

Cependant, je me pose plusieurs questions :

1. Cela ne ralentit pas les temps de réponse des requêtes ? (car il faut à chaque fois calculer la signature côté client ET côté serveur)

2. Ai-je vraiment besoin de mettre cela en place alors que mon API ne sera pas ouverte aux utilisateurs/développeurs ?


Merci d'avance de votre aide