Restful api認(rèn)證機(jī)制的問(wèn)題

精華

jinlunxue 2016-10-21 02:04:50 瀏覽(3271) 回復(fù)(4) 贊(0)

目前是采用json web token這種機(jī)制，驗(yàn)證合法用戶(hù)后返回一個(gè)toekn，然后該用戶(hù)每次請(qǐng)求都帶上這個(gè)token，最后服務(wù)器驗(yàn)證token是否合法。但是這樣有一個(gè)弊端：token很容易讓別人獲取到，這樣就能訪(fǎng)問(wèn)任意的api，不安全。這需要用上https來(lái)保證安全？想請(qǐng)教一下大家有哪些更好更安全的認(rèn)證機(jī)制。

標(biāo)簽： nodejs

回答(4)

smartwolf111 2016-10-21

1.開(kāi)放平臺(tái)一搬用oauth驗(yàn)證機(jī)制。

2.一般的接口驗(yàn)證的話(huà)，可以發(fā)放一個(gè)secretkey給用戶(hù)（secretkey可以是通過(guò)oauth驗(yàn)證方式發(fā)放，也可以手動(dòng)發(fā)放），然后請(qǐng)求參數(shù)加一個(gè)sign參數(shù)，sign等于hash(secretkey+paramsStr+secretkey),服務(wù)器驗(yàn)證sign是否合法，這種方式不需要傳輸secretkey。