猿问

Restful api认证机制的问题

目前是采用jsonwebtoken这种机制,验证合法用户后返回一个toekn,然后该用户每次请求都带上这个token,最后服务器验证token是否合法。但是这样有一个弊端:token很容易让别人获取到,这样就能访问任意的api,不安全。
这需要用上https来保证安全?想请教一下大家有哪些更好更安全的认证机制。

		

			
白猪掌柜的

			
浏览 485回答 2

		

	

	

									
	

	

		
2回答

		

			
			

				
				
慕标琳琳

				
1.开放平台?开放平台一搬用oauth验证机制。2.一般的接口验证的话,可以发放一个secretkey给用户(secretkey可以是通过oauth验证方式发放,也可以手动发放),然后请求参数加一个sign参数,sign等于hash(secretkey+paramsStr+secretkey),服务器验证sign是否合法,这种方式不需要传输secretkey。

				

					

            
            
          

          
0

				

			

			
			

				
				
MMMHUHU

				
可以用上HTTPS.对于token验证的话,可以增加一些限制,比如IP范围.用上了HTTPS还是有可能被劫持,但是概率比较小,我觉得是不用太担心的,除非是什么不得了的网站.用户名密码验证的话,可以采用时间戳/验证码+hash,但同上,如果用的HTTPS并不是很必要.

				

					

            
            
          

          
0

				

			

			
		

	

	

		随时随地看视频慕课网APP
	

	
	
	

		
相关分类

		

			
			

			
				 JavaScript
			
			

				
			
		

	

	
	
	

		我要回答