php 에는 에디션에 기반된 인증

나의 웹 서버에 REST 서비스가 하나 있는데, php 로 만든 것입니다.

가장 좋은 신분검증(기본적인 http 방문 인증 제외)이 궁금하다.

나는 영패에 기반된 신분검증을 들었는데, 어떤 사람이 주요절차를 해석할 수 있는지 물었다.

• On a GET: Is the token send visible? (isn't that unsafe?)
• How do I make the token only valid for a specific time?
• ...

클라이언트: Android/Browser;서버: Apachee, PHP5

대답

이 두 가지 방법은 모두 가능하다.

GET 요청 중 값은 사실 POST 요청에 비해 더 당직되지 않는다.

만약 누군가가 ‘보이다’는 요청이 있다면, 그가 보낸 모든 정보를 볼 수 있다.

마지막으로 HTTP 요청은 HTTTP의 머리일 뿐 뒤에는 하나의 주체를 따라갈 수 있다.

URL 은 1행 GET/foo/bar HTTP/1 중 보내는 데 따라 보내는 데 불과하다.

따라서 신분검증 카드를 어디서 발송하는 것이 당신에게 달려 있습니다.

모든 요청에 추가된 조회 인자를 요구할 수 있습니다:

GET /foo/bar?user=123456&token=abcde... 

HTTP 프로토콜을 예상대로 사용하려면 Authorization HTTTP 헤드를 사용해야 합니다:

Authorization: MyScheme 123456:abcde... 

이 제목의 내용은 완전히 네가 결정한다.

그것은 일반적으로 Basic 같은 권한을 지정한 후 인증에 필요한 내용을 지정합니다.

이것은 사용자 이름과 비밀번호를 분열할 수 있으며, 고객 클라이언트는 어느 순간에 얻은 불투명 영패나 다른 어떤 것들을 가져와도 됩니다.

나는 에세이 시스템을 사용하거나 서명 시스템을 요청하고, 후자가 더욱 환영을 받을 것을 건의한다.

서명 시스템에서 클라이언트는 반드시 당신의 곳에서 포켓을 가져야 합니다.

그 다음에는 이 포켓의 산열과 요청을 보내는 어떤 특징은 인증 요청을 요청합니다.

예를 들어 샤1 (토크 + 시간 스탬프 + URL + 요청을 요청합니다.

서버가 이 점을 검증할 수 있으므로 클라이언트는 매번 요청할 때마다 에세이를 보낼 필요는 없습니다.

How do I make the token only valid for a specific time?

유통기한 시간 스탬프를 사용하여 에세이 서버 엔드를 저장하고 검사합니다.