Аутентификация через веб-API

0

Я пытаюсь объединить мой мозг вокруг аутентификации в API, который я должен разработать.

Я попытался придумать способ успешной аутентификации пользователей, имея в виду, что пользователи могут получить доступ ко всем данным на клиенте, и я придумал эту идею.

Client sends username and password to the server
Server checks if they match a user.
    If it does, we create a hashed string with user_id+e-mail+currentTime+salt
    and stores this in a database-table with an expiration date.
Server returns hashed string to client

Client sends random request to server including key
Server checks if key is correct and if it expired

Это безопасный способ сделать это, или вы видите какие-либо недостатки безопасности?

  • 1
    Что мешает кому-то взломать ключ и делать запросы от имени пользователя?
  • 0
    Я полагаю, что это было бы возможно только в том случае, если бы кто-то был в той же сети и прослушал ее, и в этом случае было бы хорошо, пока не истечет срок действия ключа. У вас есть идея, как сделать это безопаснее?
Показать ещё 6 комментариев
Теги:
authentication

1 ответ

0

Во-первых, Do я see security flaws? Да и Нет. Если вы не используете безопасное соединение, отправка пароля пользователя и имени пользователя через сеть не будет хорошей идеей. Особенно, если у вас нет Хэширования пароля пользователя в sha512 или что вы используете.

Я хотел бы получить пароль на стороне клиента, а затем отправить его.

Посмотрите, например, на API Twitter. Они также используют клавиши для аутентификации вашей учетной записи.

Вот полезная статья.

Поделиться

Ещё вопросы

Сообщество Overcoder
Наверх
Меню