API 安全问题

Question

我知道有人就该主题提出了多个问题，但没有人真正回答我的具体问题。

我的应用

我有一个基于 PHP 的 API，可以从我的 MySQL 数据库中检索和发布信息。我用它来检查登录，创建新帐户，还可以从数据库中检索简单数据。我的应用还没有出现在 AppStore 上，而且现在，我的 API 没有任何安全性：这是我制作的第一个 API，我只关注基础知识。现在结束了，我想添加一些安全性。我做了很多研究，oAuth 似乎太过分了，而且对于我在这里尝试做的事情来说太难了。 我对 oAuth 主题感到困惑，关于 2-legged 或 3-legged oAuth。

假设我希望保护这个简单的方案： 1) 用户输入登录信息 2) iOS 应用程序将凭据发送到基于 PHP 的 API 服务器 3) 如果登录凭据正确，API 检查数据库 4) API 返回（在 JSON 中）请求的结果 5）应用程序处理json

这是当前的流程。确保这一点的最简单方法是什么？ oAuth 是否值得，或者我可以使用只有我的应用程序和我的 API 知道并且我只需在 POST 中添加的私钥制作一个更简单的手工加密系统吗？

Answer 1

安全的一般经验法则是采用久经考验的解决方案。因此，使用一些外部登录方法（如 Facebook、Google、Twitter 等）的 oAuth 是一个不错的选择。我想您会发现它实际上比滚动您自己的用户数据库、密码处理、身份验证等工作要少得多。

但是，如果您不热衷于这样做，则很可能有完整的 PHP 框架来增加安全性，例如 PHP-LOGIN。如果您坚持自己做，这里的答案可能会提供一些细节：Developing a secure PHP login and authentication strategy 尽管我强烈建议您不要实施自己的安全解决方案，除非您是该领域的专家。