【问题标题】:Recommended Practices - API Authentication for new user creation推荐做法 - 用于创建新用户的 API 身份验证
【发布时间】:2015-02-05 08:13:20
【问题描述】:

我们网站上的所有调用都是通过 https 进行的,几乎所有资源调用都需要一个唯一的用户特定令牌,该令牌在登录时返回给客户端。但是,某些调用(例如忘记密码或初始用户创建)需要不同的身份验证机制。我想到了一个超级用户令牌,但我不知道如何将它安全地交给客户端(硬编码似乎不是一种选择)。请问对这些类型的呼叫进行身份验证的推荐做法是什么?

【问题讨论】:

    标签: web-services security https


    【解决方案1】:

    创建新帐户或重置忘记的密码等功能通常根本不受保护(传输安全性 - https 除外),因为它们必须在用户未登录的情况下按定义完成。

    您担心的威胁是什么?如果有人试图创建大量帐户,您可以在帐户创建逻辑中构建规则,即给定 IP 地址也可以在特定时间段内创建有限数量的帐户。

    如果您担心有人可能会使用重置密码功能来暴力破解密码,您可以限制用户在某个帐户上可以尝试的密码重置次数。

    【讨论】:

      猜你喜欢
      • 2015-07-13
      • 2012-01-27
      • 2015-07-06
      • 1970-01-01
      • 1970-01-01
      • 2019-10-28
      • 2016-04-12
      • 1970-01-01
      • 2013-10-16
      相关资源
      最近更新 更多