为了账号安全,请及时绑定邮箱和手机立即绑定

api 认证安全问题

api 认证安全问题

RISEBY 2018-10-03 17:25:08
主要讨论安全问题!如果不明白的请绕道,谢谢。最近做这个一个Restful的东西。看了很多相关的资料。比如我选一个简单的验证每一个请求url部分带上auth_token思路是这样的使用了SSL1,用户先登陆,然后返回这个token给他。2,然后用户在每个API请求带上这个token。因为都使用https那么就是相对安全。可是如果是JS+html的项目。那么使用这个API就会在Ajax里面直接看到这个请求的token。那么其他除了这个人之外的人就可以用这个token做各种请求。那么是不是对于ajax这种情况如何保证相对安全。同时不重写Restful api
查看完整描述

2 回答

?
慕的地6264312

TA贡献1817条经验 获得超6个赞

Token 的生成是和用户账号相关的(除非你不这样做),登陆成功之后生成的 Token 应该只有这个用户的请求才能用,再加上你是 ssl 加密,除非账号被盗,否则就算拿到了 Token 也没用。另外你也可以在服务端对 Token 有效性进行进一步验证,这里面可用的方法就多了去了,打开脑洞想吧。

查看完整回答
反对 回复 2018-10-10
?
神不在的星期二

TA贡献1963条经验 获得超6个赞

  1. 非 JS+html 项目去下载个 http 监控软件也很容易看到,如果你不想在 url 中暴露 token 可以把他们放在 header 或 cookie 里

  2. 走 https 数据都是加密的,所以即使被不法分子监听到,他拿到的也是加密的内容,没什么卵用

  3. 再安全点你可以采用动态 token,这里提供个思路,即每次请求都返回一个新的 token 同时之前的 token 失效,再请求就用新 token


查看完整回答
反对 回复 2018-10-10
  • 2 回答
  • 0 关注
  • 856 浏览
慕课专栏
更多

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信