当用户在我的应用程序中插入他们的用户名和密码时,API 会返回一个身份验证密钥,该密钥用于对服务器的每个请求。很简单的东西。
但我意识到:如果该用户将身份验证密钥复制到另一台 PC 或另一台安装中会怎样。他将能够在没有新登录的情况下执行请求,而服务器甚至不会意识到这一点。
我怎样才能防止这种情况?至少有一些方法可以防止这种情况发生吗?这是验证用户的正确方法吗?
PS:我正在编写此 API 的服务器端和客户端及其身份验证,因此添加任何要发送、接收或验证的“额外数据”没有问题。
当用户在我的应用程序中插入他们的用户名和密码时,API 会返回一个身份验证密钥,该密钥用于对服务器的每个请求。很简单的东西。
但我意识到:如果该用户将身份验证密钥复制到另一台 PC 或另一台安装中会怎样。他将能够在没有新登录的情况下执行请求,而服务器甚至不会意识到这一点。
我怎样才能防止这种情况?至少有一些方法可以防止这种情况发生吗?这是验证用户的正确方法吗?
PS:我正在编写此 API 的服务器端和客户端及其身份验证,因此添加任何要发送、接收或验证的“额外数据”没有问题。