iscareal
@iscareal
Front-End Developer

Безопасная авторизации в API-based приложении?

Делаю приложение и в первую очередь разрабатываю API. Остановился на авторизации. Как правильно сделать ее безопасной?

В моем понимании сейчас это выглядит так:

1. Обращаемся к методу с логином и паролем (/auth/login/?email=mail@example.com&password=123456)
2. Сервер проверяет данные и в случае успеха генерирует и отдает token, который записывается в cookies.
3. С этим token-ом в дальнейшем обращаемся к другим методам API.

Ну в общем все... Но выглядит это все как то не очень безопасно. Всего лишь достаточно узнать этот token и можно пользоваться чужим аккаунтам.

Так как же лучше сделать?

К слову, использую PHP-шный Slim Framework
  • Вопрос задан
  • 366 просмотров
Пригласить эксперта
Ответы на вопрос 2
viphorizon
@viphorizon
Для улучшения безопасности поставьте SSL. Например: StartSSL - бесплатно

Вместо Get используйте POST. Где то читал, что он безопаснее
Ответ написан
Для повышения безопасности можно при выдаче токена запоминать какие-то параметры подключения (user agent. ip адрес) и проверять их. Выдавать токен на ограниченное время. Как подсказали выше - SSL очень желателен.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы