0

今のところ、学習目的のためだけにクライアント/サーバー通信を設計しています。

サーバー側には php restful サーバーがあり、クライアントのバックボーン js アプリには.

基本的な考え方:

  • ログインに成功すると、サーバーは一意の API キーを生成し、それを DB に保存します。アカウントが一定時間使用されないと有効期限が切れます
  • クライアントはこのキーとユーザー ID を取得し、安全な Cookie に保存して、すべてのリクエストで使用します。
  • キーが一致する場合、サーバーはリクエストを処理します
  • すべての通信は https で行われます

このプロセスは安全ですか、それとも何を提案しますか?

そして、私は本当にOauthを使いたくありません。

4

1 に答える 1

1

少し前に、ここにある API トークン ベースの認証のリファレンスを作成しました。

プロジェクトの1つで私が行うこと。

  1. ユーザーがサインアップし、API キーが生成されています。
  2. ユーザーは、API キーを localstore または保護された Cookie に保存します。
  3. API にアクセスするには、API キーをアクセス トークンに交換する必要があります。彼はエンドポイントにリクエストを送信し、userId と apiKey が一致すると、HMAC ベースのアクセス トークンが発行されます。
  4. access_tokenすべての API リクエストには、クエリ パラメータまたはtokenCookie の値によって渡されるアクセス トークンが必要です。

SSLで動作する必要があるすべて。

于 2013-08-25T13:43:52.790 に答える