0

我一直在尝试围绕我要开发的 API 进行身份验证。

我试图想出一种方法来成功验证用户,记住用户可以访问客户端上的所有数据,我想出了这个想法。

Client sends username and password to the server
Server checks if they match a user.
    If it does, we create a hashed string with user_id+e-mail+currentTime+salt
    and stores this in a database-table with an expiration date.
Server returns hashed string to client

Client sends random request to server including key
Server checks if key is correct and if it's expired

这是一种安全的方法,还是您发现任何安全漏洞?

4

1 回答 1

0

首先,Do i see security flaws?是和否。如果您没有使用安全连接,通过网络发送用户密码和用户名不是一个好主意。特别是如果您没有在 sha512 或您使用的任何内容中散列用户密码。

我会在客户端对密码进行哈希处理,然后发送。

以 Twitter 的 API 为例。他们也使用密钥来验证您的帐户。

这是一篇有用的文章

于 2013-11-10T17:30:04.377 回答