Hogyan kell használni a zsetont a hitelesítéshez api
A klasszikus ülés, ha dolgozik az API visszautasította.
A szerver fogadja a kérést, akkor látja jönni megfontolásból áttöri a vastagbél input_id és input_val. Kiválasztja az alapja a token egy bejövő input_id, kap a bázis érték token_val és titkos. Összehasonlítja input_val és token_val. Ha az adatbázis talált egy tokent a megfelelő id és val értéke egyenlő, itt az ideje, hogy ellenőrizze a kérelem érvényességét.
Az ügyfél mellett a token kézzel jel (aláírás), amely úgy van kialakítva (például) a titkos + api_path + query_param. A szerver oldalon, és tudod api_path api_param, egy titkos adatbázisából kiválasztott. Hash aláírás által elfogadott hmac ().
Amellett, hogy az aláírás token és továbbítja az időt, és csak betette a jel, és a szerver oldalon, hogy csökkentsék ponttól kapott korábbi kérést, amely több, mint 60 másodperc.
Ha valaki meghallgassa a csatorna, akkor nem lesz képes kovácsolni kéréseket (és így kompromentirovat), és mivel a kérelmet ellenőrzi az élettartam nem mindig kap az adatokat az egyik elfogott kérelmet.
És alapú token tárolható, amíg az ügyfél nem kér ezek megsemmisítése, és megőrizzék az utolsó elérési ideje a token vagy távolítsa el a zsetont, hogy nem használták több mint 60 nap.
D „normalizálás. Ez a mechanizmus védi a hamisítás ellen a kérést, és a - nem.
Lehallgatja a token (by the way, milyen id és val?) És titkos, akkor farag kérdéseikkel.
Ragályos sign = RSA (sha256 (pass + paraméterek)) nem megfejteni a vonalat, anélkül, hogy a privát kulcsot. Jelszó ismerete nélkül nem lesz képes arra, hogy újabb kérelmet.
A jelszó lehet lopott egy darabig, és az én esetemben, ebből tényleg nem fog megmenteni semmit, kivéve, hogy az API szolgáltató ebben az esetben nem lehet hibáztatni.
Artem. használja mester kulcs, minden felhasználó számára - egyenes út ------> ott.
Amennyiben nem zavarja, ha nincs rá szükség. Ha igazán érzékeny adatok elfogását, érdemes nézi ellenállóbbak oldatot (lásd távirat protokoll implementáció).
Ha nem akar bajlódni sokat, és így, mint az RSA, meg kell generálni minden egyes felhasználó nyilvános / magán kulcsokat és nyilvános kulcs segítségével a letöltött másik forráson keresztül kézzel, akkor senki lehallgatás, és nem fáj.
Artem. „By the way, milyen id és val?”, Csak választani egy adatbázist INT, és ez egy index tenni. Végül is, minden kérelmet az API, hogy ellenőrizze a jelzőt. numerikus index terén könnyebb, mint az index varchar.