2012-12-14 350 views
0

我們允許開發者讓他們的用戶通過API登錄我們的網站/平臺。登錄將通過HTTPS訪問我們的API,因此它至少會安全地傳遞用戶名和密碼。通過API登錄網站

但之後,通過API「登錄」這個人最有效的方法是什麼?這就是我的想法。

//應用通過用戶名和密碼API

//我們的API處理用戶名和密碼。

//如果登錄失敗,輸出故障代碼

//如果登錄成功,然後創建一個AUTHCODE和用戶的表內保存。發送authcode和user_id到應用程序

現在,每次用戶執行一個操作(例如發表評論)並且它命中我們的API時,我們都需要user_id和authcode才能進行身份驗證。

我錯過了什麼?我是否應該在X小時後包含一個過期列以「註銷」用戶?

回答

1

一般而言,你的過程是好的。這與互聯網上的一些主要API的工作方式相同。

有一些東西,你可以考慮增加(現在或將來):

  • 創建上(用於註銷功能)。我建議在特定的時間段後(即使它像一個月)
  • ,每當user_id在API中被命中並帶有'未經驗證的'授權碼時,它都會計數。通過這種方式,您可以檢測暴力破解並決定是否還要添加其他對策(例如將授權碼鎖定到IP)。
  • IP,在AUTHCODE鎖定到IP,以防止暴力破解