首頁猿問 api 認(rèn)證安全問題

api 認(rèn)證安全問題

安全 API

RISEBY 2018-10-03 17:25:08

主要討論安全問題！如果不明白的請繞道，謝謝。最近做這個一個Restful的東西。看了很多相關(guān)的資料。比如我選一個簡單的驗(yàn)證每一個請求url部分帶上auth_token思路是這樣的使用了SSL1，用戶先登陸，然后返回這個token給他。2，然后用戶在每個API請求帶上這個token。因?yàn)槎际褂胔ttps那么就是相對安全?？墒侨绻荍S+html的項(xiàng)目。那么使用這個API就會在Ajax里面直接看到這個請求的token。那么其他除了這個人之外的人就可以用這個token做各種請求。那么是不是對于ajax這種情況如何保證相對安全。同時不重寫Restful api

查看完整描述

2 回答

慕的地6264312

TA貢獻(xiàn)1817條經(jīng)驗(yàn) 獲得超6個贊

Token 的生成是和用戶賬號相關(guān)的（除非你不這樣做），登陸成功之后生成的 Token 應(yīng)該只有這個用戶的請求才能用，再加上你是 ssl 加密，除非賬號被盜，否則就算拿到了 Token 也沒用。另外你也可以在服務(wù)端對 Token 有效性進(jìn)行進(jìn)一步驗(yàn)證，這里面可用的方法就多了去了，打開腦洞想吧。

反對回復(fù) 2018-10-10

神不在的星期二

TA貢獻(xiàn)1963條經(jīng)驗(yàn) 獲得超6個贊

非 JS+html 項(xiàng)目去下載個 http 監(jiān)控軟件也很容易看到，如果你不想在 url 中暴露 token 可以把他們放在 header 或 cookie 里
走 https 數(shù)據(jù)都是加密的，所以即使被不法分子監(jiān)聽到，他拿到的也是加密的內(nèi)容，沒什么卵用
再安全點(diǎn)你可以采用動態(tài) token，這里提供個思路，即每次請求都返回一個新的 token 同時之前的 token 失效，再請求就用新 token

反對回復(fù) 2018-10-10