为了账号安全,请及时绑定邮箱和手机立即绑定

假如中间被截获了token,那么不是可以伪造用户请求?

假如中间被截获了token,那么不是可以伪造用户请求?

API
慕码人2483693 2023-04-26 19:15:09
是这样的,我们是一个拥有很多用户的平台,需要对第三方开发者开放API。不过在用户token这里我有点乱,大家看看我理解的、还有做法对不对。1.我理解用户token就有点类似http的cookie,因为api之间是没有用来维持关系的东西的。当带着token再次请求api时我就知道是某个用户登录了。2.流程:用户登录成功后,我为这个用户创建一个token并保存到数据库中,返回给开发者这个token,下一次再请求需要权限的API的时候(例如查询用户信息),开发者带上这个token,那么我这边对比一下数据库中的token就知道是哪个用户在请求了,并且知道是合法的请求。上面2条我的理解和做法有错吗?我总觉得哪里不妥似得,假如中间被截获了token,那么不是可以伪造用户请求?是还需要一个签名sign吗?
查看完整描述

2 回答

?
慕容森

TA贡献1853条经验 获得超18个赞

不需要签名,最重要的是校验 app_key;另外,为了保障用户隔阂,提倡借鉴腾讯做法,用appkey + 用户id,hash一下得出用户的唯一id

oauth2,多看几遍就好


查看完整回答
反对 回复 2023-04-29
?
料青山看我应如是

TA贡献1772条经验 获得超8个赞

自己内部平台使用(web或者app)用token就够了。
api供第三方使用,就是oauth2的典型应用场景。

查看完整回答
反对 回复 2023-04-29
  • 2 回答
  • 0 关注
  • 235 浏览

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信