我正在开发restful api。
我想通过在每个API上使用一些签名值来验证用户。
签名值将存储在我的数据库中。我想比较数据库中的签名值和用户请求中的值。
有关于这种流动的提示吗?
一种常见的方法是使用一个中等长度的令牌(32到256个字符(,作为查询参数或在标头中传递。
如果您需要更强的安全性,您可以传递一个根据查询的其他参数和签名计算的哈希。这样,每个请求都会传递一个不同的值,协议对中间人攻击的抵抗力会更强。
您通常会在简单性和安全性之间取得平衡(HTTPS可以保护您免受MITM的影响(。因此,你应该首先确定你想要减轻的风险和威胁。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium