【发布时间】:2012-12-19 00:22:39
【问题描述】:
我创建了一个 REST API 并实现了一个签名系统作为安全层,基本上它的工作原理是我有 API 用户使用密钥(比如说密码)连接到 API,只有用户和API 知道,然后在会话打开后,API 返回一个 API 密钥,用于所有后续调用。
所有后续调用都将提供 API 密钥和不同请求参数的 sha256 哈希,哈希使用密钥创建。
到目前为止一切顺利,但是我面临一个问题,即我有一个完整的 AJAX 客户端调用 API,但我不希望我的用户每次想要打开会话时都输入他们的用户名和密码(密钥)如果他们以前连接到 API,则获取新的 API 密钥。
暂时,我使用 javascript 将密钥以纯文本形式存储在 cookie 中,但对我来说似乎是错误的。
你们也有建议或链接指向我吗?有什么不明白的地方吗?
提前致谢!
【问题讨论】:
标签: php web-services rest security