0

開発者は、APIを介してユーザーにサイト/プラットフォームにログインさせることができます。ログインはHTTPSを介してAPIにアクセスするため、少なくともユーザー名とパスワードが安全に渡されます。

しかしその後、APIを介してこの人を「ログイン」させる最も効率的な方法は何ですか?これが私が考えていることです。

//アプリはユーザー名とパスワードをAPIに渡します

//APIはユーザー名とパスワードを処理します。

//ログインに失敗した場合、失敗コードを出力します

//ログインが成功した場合は、認証コードを作成してユーザーのテーブルに保存します。authcodeとuser_idをアプリに送り返します

これで、ユーザーがアクション(コメントの作成など)を実行してAPIにヒットするたびに、認証のためにuser_idとauthcodeが必要になります。

私は何かが足りないのですか?X時間後にユーザーを「ログアウト」するために、有効期限列を含める必要がありますか?

4

1 に答える 1

1

一般的に、あなたのプロセスは大丈夫です。これは、インターネット上のいくつかの主要なAPIが機能するのと同じ方法です。

追加を検討できることがいくつかあります(現在または将来):

  • 作成済み(ログアウト機能用)。特定の期間が経過した後(1か月の場合でも)期限切れにすることをお勧めします
  • ミス、これは、APIでuser_idが「認証されていない」認証コードでヒットされるたびにカウントされます。このようにして、ブルートフォーシングを検出し、他の対抗策(認証コードをIPにロックするなど)を追加するかどうかを決定できます。
  • ip、総当たり攻撃を防ぐために認証コードをIPにロックします
于 2012-12-14T19:09:53.520 に答える