首頁 > 開源物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì) > 開源物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)話題列表 > 詳情

Restful api認(rèn)證機(jī)制的問題

精華

jinlunxue 2016-10-21 02:04:50 瀏覽(3352) 回復(fù)(4) 贊(0)

目前是采用json web token這種機(jī)制，驗(yàn)證合法用戶后返回一個(gè)toekn，然后該用戶每次請(qǐng)求都帶上這個(gè)token，最后服務(wù)器驗(yàn)證token是否合法。但是這樣有一個(gè)弊端：token很容易讓別人獲取到，這樣就能訪問任意的api，不安全。這需要用上https來保證安全？想請(qǐng)教一下大家有哪些更好更安全的認(rèn)證機(jī)制。

標(biāo)簽： nodejs

回答(4)

smartwolf111 2016-10-21

1.開放平臺(tái)一搬用oauth驗(yàn)證機(jī)制。

2.一般的接口驗(yàn)證的話，可以發(fā)放一個(gè)secretkey給用戶（secretkey可以是通過oauth驗(yàn)證方式發(fā)放，也可以手動(dòng)發(fā)放），然后請(qǐng)求參數(shù)加一個(gè)sign參數(shù)，sign等于hash(secretkey+paramsStr+secretkey),服務(wù)器驗(yàn)證sign是否合法，這種方式不需要傳輸secretkey。