0

我们允许开发人员让他们的用户通过 API 登录我们的网站/平台。登录将通过 HTTPS 访问我们的 API,因此它至少会安全地传递用户名和密码。

但在那之后,通过 API “登录”此人的最有效方法是什么?这就是我的想法。

// 应用程序将用户名和密码传递给 API

// 我们的 API 处理用户名和密码。

// 如果登录失败,输出失败代码

// 如果登录成功,则创建一个 authcode 并将其保存在用户表中。将 authcode 和 user_id 发送回应用程序

现在,每次用户执行操作(例如发表评论)并访问我们的 API 时,我们都需要 user_id 和 authcode 来进行身份验证。

我错过了什么吗?我应该在 X 小时后包含一个过期列以“注销”用户吗?

4

1 回答 1

1

一般来说,你的过程很好。这与互联网上一些主要 API 的工作方式相同。

您可以考虑添加一些内容(现在或将来):

  • created-on(用于注销功能)。我建议在特定时期后将它们过期(即使是一个月)
  • miss,每次在 API 中使用“未验证”身份验证码命中 user_id 时都会计数。通过这种方式,您可以检测暴力破解并决定是否还要添加其他对策(例如将 authcode 锁定到 IP)。
  • ip,将验证码锁定到 IP 以防止暴力破解
于 2012-12-14T19:09:53.520 回答