3

私はRESTAPIを作成し、セキュリティのレイヤーとして署名システムを実装しました。基本的には、ユーザーとAPIだけが知っている秘密鍵(パスワードなど)を使用してAPIに接続するAPIユーザーがいるということです。次に、セッションが開かれた後、APIは後続のすべての呼び出しに使用されるAPIキーを返します。

以降のすべての呼び出しでは、APIキーと、秘密鍵を使用して作成されたさまざまな要求パラメーターのsha256ハッシュが提供されます。

これまでのところ良いですが、APIを呼び出す完全なAJAXクライアントがあるという問題に直面していますが、ユーザーがセッションを開いて取得するたびにユーザー名とパスワード(秘密鍵)を入力したくない以前にAPIに接続したことがある場合は、新しいAPIキー。

一時的に、JavaScriptを使用してCookieにプレーンテキストで秘密鍵を保存していますが、それは私には間違っているようです。

私も指摘するための提案やリンクはありますか?わからないことがありますか?

前もって感謝します!

4

1 に答える 1

1

APIのハッシュリースを提供します。リースは、一定期間APIへのアクセスを許可し、その時間はトークンで指定されます。たとえば、次の7日間は有効である可能性があります。これを行うには、トークンに終了日を追加して署名するだけです。

アプリが戻って新しいセッションを開始しようとすると、サーバーに新しいリースを与えるように要求できます。これは、アプリがすでに認証されていると仮定して、さらに7日間有効です。

7日後にサーバーにアクセスしようとした場合は、再認証する必要があります。

于 2012-12-19T01:28:56.937 に答える