Задать вопрос
iscareal
@iscareal
Front-End Developer
php

Безопасная авторизации в API-based приложении?

Делаю приложение и в первую очередь разрабатываю API. Остановился на авторизации. Как правильно сделать ее безопасной?

В моем понимании сейчас это выглядит так:

1. Обращаемся к методу с логином и паролем (/auth/login/?email=mail@example.com&password=123456)
2. Сервер проверяет данные и в случае успеха генерирует и отдает token, который записывается в cookies.
3. С этим token-ом в дальнейшем обращаемся к другим методам API.

Ну в общем все... Но выглядит это все как то не очень безопасно. Всего лишь достаточно узнать этот token и можно пользоваться чужим аккаунтам.

Так как же лучше сделать?

К слову, использую PHP-шный Slim Framework
  • Вопрос задан
  • 366 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
viphorizon
@viphorizon
Для улучшения безопасности поставьте SSL. Например: StartSSL - бесплатно

Вместо Get используйте POST. Где то читал, что он безопаснее
Ответ написан
3 комментария
3 комментария
@healqq
Для повышения безопасности можно при выдаче токена запоминать какие-то параметры подключения (user agent. ip адрес) и проверять их. Выдавать токен на ограниченное время. Как подсказали выше - SSL очень желателен.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
PHP разработчик
FSD
До 180 000 ₽
Junior php разработчик (laravel)
Бюро Цифровых Технологий Санкт-Петербург
от 50 000 до 70 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Аудио-проект на Arduino для выставки
02 нояб. 2024, в 23:04
80000 руб./за проект
Настройка Mikrotik с приоритезацией трафика для игр
02 нояб. 2024, в 21:53
5000 руб./за проект
Создать flash крипту
02 нояб. 2024, в 21:08
2000000 руб./за проект
Ещё заказы