Budujemy system, który wymaga danych logowania dla wszystkich stron. aplikacja została zaprojektowana tak, aby była restrykcyjną aplikacją przy użyciu codeigniter jako biblioteka Phil Sturgeon. Ta biblioteka używa klucza API tylko do autoryzowania wywołań interfejsu API poprzez wysyłanie go przy każdym żądaniu za pośrednictwem połączenia HTTPS.REST API Metoda logowania
Nawet jeśli używa uwierzytelniania dwukierunkowego lub tylko klucza API. Co szukam jakiś czas jest następujący scenariusz:
- żądanie użytkownika aplikacja po raz pierwszy (ex: https://www.xyz.com), a następnie zostanie on przekierowany na stronę logowania do sprawdzenia poświadczenia
- użytkownika Wprowadź usernam/hasło i wysłał go poprzez POST nad https
czek Server, jeżeli informacja jest ważna wtedy:
API KEY powinien być udostępniony przez serwer do klienta zidentyfikowanego jako zasób przez tę nazwę użytkownika (Tutaj jest pytanie ??? !!!)
Jak wysłać klucz API do klienta w bezpieczny sposób?
- 1) mogę użyć sesji ciasteczka i przywrócić klucz API w pliku cookie, a następnie za pomocą tego API klucz na każdym nadchodzącym życzenie (to gwałtowne bezstanowy reszty i nie mam pewności, czy wystarczająco bezpiecznie).
- 2) Właściwie nie wiem, inne opcje :) twoja kolej, jeśli można pomóc
Jeśli mógłbyś podać przykład byłoby bardzo pomocne jak ja znaleziono i przeczytać wiele artykułów
:)
także jeśli użyłem podejścia polegającego na użyciu klucza Api tylko do uwierzytelnienia użytkowników jest wystarczająco bezpieczne, martwię się bezpieczeństwem, ponieważ dane w aplikacji są wrażliwe – ahmedsaber111