0
我們允許開發者讓他們的用戶通過API登錄我們的網站/平臺。登錄將通過HTTPS訪問我們的API,因此它至少會安全地傳遞用戶名和密碼。通過API登錄網站
但之後,通過API「登錄」這個人最有效的方法是什麼?這就是我的想法。
//應用通過用戶名和密碼API
//我們的API處理用戶名和密碼。
//如果登錄失敗,輸出故障代碼
//如果登錄成功,然後創建一個AUTHCODE和用戶的表內保存。發送authcode和user_id到應用程序
現在,每次用戶執行一個操作(例如發表評論)並且它命中我們的API時,我們都需要user_id和authcode才能進行身份驗證。
我錯過了什麼?我是否應該在X小時後包含一個過期列以「註銷」用戶?