0

我现在设计一个客户端-服务器通信只是为了学习目的。

在服务器端是 php restful 服务器和客户端的主干 js 应用程序。

基本思想:

  • 成功登录后,服务器将生成唯一的 API 密钥,将其存储到数据库中,并在帐户不活动一段时间后过期
  • 客户端将获取此密钥和用户 ID,将其保存在安全 cookie 中并用于每个请求
  • 如果键匹配,服务器将处理请求
  • 所有通信都在 https 上

这个过程是安全的还是你有什么建议?

我真的不想和 Oauth 一起去。

4

1 回答 1

1

之前,我为基于 API 令牌的授权创建了一个参考,位于此处

我在其中一个项目中做的事情。

  1. 用户注册,API 密钥正在生成。
  2. 用户将 API 密钥保存到本地存储或安全 cookie。
  3. 要访问 API,他必须将 API 密钥交换为访问令牌。他向端点发送请求,并且是 userId 和 apiKey 匹配,发出基于 HMAC 的访问令牌。
  4. 所有 API 请求都需要通过access_token查询参数或tokencookie 中的值传递的访问令牌。

所有这些都必须在 SSL 上工作。

于 2013-08-25T13:43:52.790 回答