Restful api認證機制的問題

精華

jinlunxue 2016-10-21 02:04:50 瀏覽(3224) 回復(4) 贊(0)

目前是采用json web token這種機制，驗證合法用戶后返回一個toekn，然后該用戶每次請求都帶上這個token，最后服務器驗證token是否合法。但是這樣有一個弊端：token很容易讓別人獲取到，這樣就能訪問任意的api，不安全。這需要用上https來保證安全？想請教一下大家有哪些更好更安全的認證機制。

標簽： nodejs

回答(4)

smartwolf111 2016-10-21

1.開放平臺一搬用oauth驗證機制。

2.一般的接口驗證的話，可以發(fā)放一個secretkey給用戶（secretkey可以是通過oauth驗證方式發(fā)放，也可以手動發(fā)放），然后請求參數(shù)加一個sign參數(shù)，sign等于hash(secretkey+paramsStr+secretkey),服務器驗證sign是否合法，這種方式不需要傳輸secretkey。