首頁(yè) 猿問(wèn) api 認(rèn)證安全問(wèn)題

api 認(rèn)證安全問(wèn)題

安全 API

RISEBY 2018-10-03 17:25:08

主要討論安全問(wèn)題！如果不明白的請(qǐng)繞道，謝謝。最近做這個(gè)一個(gè)Restful的東西?？戳撕芏嘞嚓P(guān)的資料。比如我選一個(gè)簡(jiǎn)單的驗(yàn)證每一個(gè)請(qǐng)求url部分帶上auth_token思路是這樣的使用了SSL1，用戶先登陸，然后返回這個(gè)token給他。2，然后用戶在每個(gè)API請(qǐng)求帶上這個(gè)token。因?yàn)槎际褂胔ttps那么就是相對(duì)安全?？墒侨绻荍S+html的項(xiàng)目。那么使用這個(gè)API就會(huì)在Ajax里面直接看到這個(gè)請(qǐng)求的token。那么其他除了這個(gè)人之外的人就可以用這個(gè)token做各種請(qǐng)求。那么是不是對(duì)于ajax這種情況如何保證相對(duì)安全。同時(shí)不重寫(xiě)Restful api

查看完整描述

2 回答

慕的地6264312

TA貢獻(xiàn)1817條經(jīng)驗(yàn) 獲得超6個(gè)贊

Token 的生成是和用戶賬號(hào)相關(guān)的（除非你不這樣做），登陸成功之后生成的 Token 應(yīng)該只有這個(gè)用戶的請(qǐng)求才能用，再加上你是 ssl 加密，除非賬號(hào)被盜，否則就算拿到了 Token 也沒(méi)用。另外你也可以在服務(wù)端對(duì) Token 有效性進(jìn)行進(jìn)一步驗(yàn)證，這里面可用的方法就多了去了，打開(kāi)腦洞想吧。

反對(duì) 回復(fù) 2018-10-10

神不在的星期二

TA貢獻(xiàn)1963條經(jīng)驗(yàn) 獲得超6個(gè)贊

非 JS+html 項(xiàng)目去下載個(gè) http 監(jiān)控軟件也很容易看到，如果你不想在 url 中暴露 token 可以把他們放在 header 或 cookie 里
走 https 數(shù)據(jù)都是加密的，所以即使被不法分子監(jiān)聽(tīng)到，他拿到的也是加密的內(nèi)容，沒(méi)什么卵用
再安全點(diǎn)你可以采用動(dòng)態(tài) token，這里提供個(gè)思路，即每次請(qǐng)求都返回一個(gè)新的 token 同時(shí)之前的 token 失效，再請(qǐng)求就用新 token

反對(duì) 回復(fù) 2018-10-10