0

我正在尝试在 ruby​​ 中创建一个简单的 api 系统以与我的应用程序一起使用。对于我的网站本身,我将使用安全登录表单,但我希望有一个用于桌面应用程序的 api。我想保持简单,我不想使用像 OAuth 2 这样的系统。首先,我不想强​​制应用程序通过登录网站登录或让用户必须提供一个 API 密钥。我宁愿只需要用户的电子邮件和密码即可登录,就像 dropbox 为他们的客户端登录在桌面上所做的那样。在这种情况下,如果我的应用程序安全地缓存密码,基本身份验证是否安全?我可以使用他们的任何其他系统吗?

4

1 回答 1

0

当(且仅当)您通过 HTTPS 使用基本身份验证时,基本身份验证是安全的。这同样适用于基于表单的身份验证或摘要。

至于缓存密码,如果您指的是客户端,从安全角度来看这是有问题的,但对于用户体验是可以理解的。如果您在谈论服务器端,那是一个糟糕的主意。永远不要存储用户的密码。

只存储散列密码(PBKDF2、bcrypt 等)。

于 2013-10-29T05:16:12.300 回答