首頁(yè) 猿問(wèn) Restful api認(rèn)證機(jī)制的問(wèn)題

Restful api認(rèn)證機(jī)制的問(wèn)題

安全 Node.js

慕尼黑8549860 2018-10-11 14:26:51

目前是采用json web token這種機(jī)制，驗(yàn)證合法用戶(hù)后返回一個(gè)toekn，然后該用戶(hù)每次請(qǐng)求都帶上這個(gè)token，最后服務(wù)器驗(yàn)證token是否合法。但是這樣有一個(gè)弊端：token很容易讓別人獲取到，這樣就能訪問(wèn)任意的api，不安全。這需要用上https來(lái)保證安全？想請(qǐng)教一下大家有哪些更好更安全的認(rèn)證機(jī)制。

查看完整描述

2 回答

蠱毒傳說(shuō)

TA貢獻(xiàn)1895條經(jīng)驗(yàn) 獲得超3個(gè)贊

可以用上 HTTPS. 對(duì)于 token 驗(yàn)證的話, 可以增加一些限制, 比如 IP 范圍. 用上了 HTTPS 還是有可能被劫持, 但是概率比較小, 我覺(jué)得是不用太擔(dān)心的, 除非是什么不得了的網(wǎng)站. 用戶(hù)名密碼驗(yàn)證的話, 可以采用時(shí)間戳/驗(yàn)證碼 + hash, 但同上, 如果用的 HTTPS 并不是很必要.

反對(duì) 回復(fù) 2018-10-14

三國(guó)紛爭(zhēng)

TA貢獻(xiàn)1804條經(jīng)驗(yàn) 獲得超7個(gè)贊

1.開(kāi)放平臺(tái)？開(kāi)放平臺(tái)一搬用oauth驗(yàn)證機(jī)制。
2.一般的接口驗(yàn)證的話，可以發(fā)放一個(gè)secretkey給用戶(hù)（secretkey可以是通過(guò)oauth驗(yàn)證方式發(fā)放，也可以手動(dòng)發(fā)放），然后請(qǐng)求參數(shù)加一個(gè)sign參數(shù)，sign等于hash(secretkey+paramsStr+secretkey),服務(wù)器驗(yàn)證sign是否合法，這種方式不需要傳輸secretkey。

反對(duì) 回復(fù) 2018-10-14