【发布时间】:2015-02-05 08:13:20
【问题描述】:
我们网站上的所有调用都是通过 https 进行的,几乎所有资源调用都需要一个唯一的用户特定令牌,该令牌在登录时返回给客户端。但是,某些调用(例如忘记密码或初始用户创建)需要不同的身份验证机制。我想到了一个超级用户令牌,但我不知道如何将它安全地交给客户端(硬编码似乎不是一种选择)。请问对这些类型的呼叫进行身份验证的推荐做法是什么?
【问题讨论】:
标签: web-services security https
我们网站上的所有调用都是通过 https 进行的,几乎所有资源调用都需要一个唯一的用户特定令牌,该令牌在登录时返回给客户端。但是,某些调用(例如忘记密码或初始用户创建)需要不同的身份验证机制。我想到了一个超级用户令牌,但我不知道如何将它安全地交给客户端(硬编码似乎不是一种选择)。请问对这些类型的呼叫进行身份验证的推荐做法是什么?
【问题讨论】:
标签: web-services security https
创建新帐户或重置忘记的密码等功能通常根本不受保护(传输安全性 - https 除外),因为它们必须在用户未登录的情况下按定义完成。
您担心的威胁是什么?如果有人试图创建大量帐户,您可以在帐户创建逻辑中构建规则,即给定 IP 地址也可以在特定时间段内创建有限数量的帐户。
如果您担心有人可能会使用重置密码功能来暴力破解密码,您可以限制用户在某个帐户上可以尝试的密码重置次数。
【讨论】: