【发布时间】:2010-10-20 19:07:44
【问题描述】:
我们目前有一个具有用户帐户功能的网站,但我们正在寻求提供一个 API,以允许用户通过其他设备/网站管理他们的帐户/执行操作,方法是为常见任务提供 API。
为了安全起见,目前网站登录是通过 HTTPS 完成的,然后使用具有适当安全措施的 PHP 会话进行管理,以防止会话劫持等。
我们如何在 API 中提供此功能?
如何在不进行 POST 的情况下提交登录信息? (推测 GET 是通过 API 调用执行此操作的唯一方法)。发出类似https://www.example.com/login/user-foo@password=bar 的 URL 是否安全?是否在通过网络发送 URL 之前进行 https 设置?
如果我能解决这个问题,那么我会让登录返回一个访问令牌。第一个请求应该包含这个令牌,响应应该返回一个 new 令牌,用于第二个请求等等......
这行得通吗?
【问题讨论】: