Lexxtor
@Lexxtor
PHP, Yii2, Android

Как сделать нормальную авторизацию в API?

Есть REST API, надо сделать аутентификацию. Думаю так:
Юзер присылает логин и пароль, ему дают токен.
Далее, он с каждым запросом к API присылает этот токен.
Вроде как в GET параметре плохо его передавать, так как он в логах сохранится. Больше минусов нет?

В чем суть HTTP Bearer token?
Он выглядит так:
Authorization: Bearer 12312313212313
Иногда, вместо "12312313212313" передается длинная строка, в которой, как я понял, зашифрованы роль пользователя и всякие параметры. То есть теоритически хакер может расшифровать токен, поменять роль и зашифровать обратно. Так ли это?
  • Вопрос задан
  • 437 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы