AppID 机制

大部分网站都需要用户名和密码才能登录，这其实也是一种安全机制。相应的对外接口也需要这么一种机制，使用接口的用户需要在后台开通 AppID，提供给用户相关的密钥。在调用的接口中需要提供 AppID+ 密钥，服务器端会进行相关的验证。生成唯一的 AppID 即可，根据实际情况看是否需要全局唯一，同时密钥使用字母、数字等特殊字符随机生成。

参考

https://time.geekbang.org/column/article/224701

https://cloud.tencent.com/developer/article/1369607

前后端分离，如何防止api接口被恶意调用或攻击

文章

如何保证接口安全

为什么 API 接口是不安全的？

淘宝的 API 接口安全怎么做

什么是接口篡改？

接口如何实现请求内容防止篡改？

什么是重放攻击？

接口如何实现请求内容防止重放？