php – 什么是API令牌?
我正在努力解决我的移动应用(iOS&
Android)和API(PHP)的用户身份验证的最佳方式.
从我研究过的选项是: 基本身份验证通过HTTPS – 检查每个请求的用户的用户名/密码. 会话 – 发送每个请求的会话ID;服务器维护状态.所以应用程序会在后续请求中发送登录用户的用户名/密码和服务器检查,就像我的网站一样. API令牌 – 移动应用发送用户名/密码并接收到令牌,然后将其附加到后续请求.令牌存储在DB中并检查每个请求. 我猜我的API令牌的解释是不正确的,因为它们与会话看起来是一样的,因为我在DB中存储会话ID. >我可以更正我对API令牌的解释.他们是什么它们与会话ID的区别如何?
我不是专家,但我会给你几美分,我已经拿起了:
1)API令牌是一个通用术语.通常,API令牌是请求访问您的服务的应用程序的唯一标识符.您的服务将生成API令牌,供应用程序在请求服务时使用.然后,您可以将它们提供的令牌与您存储的令牌相匹配,以进行身份??验证. 可以使用会话ID,但其目的与API令牌不同.会话ID不是认证的形式,而是授权的结果.通常,一旦用户被授权使用资源(例如您的服务),就建立会话.因此,当授予用户对资源的访问权限时,会创建一个会话ID. API令牌是类似于用户名/密码的身份验证形式. 2)API令牌是通过HTTP发送一些不安全的用户名/密码组合的替代品.然而,问题仍然存在,有人可能会采取和使用API??标记. 3)在某种程度上是的.这是一种保持API令牌“新鲜”的方法.不要传递相同的API令牌,而是要在使用服务时请求访问令牌. OAuth 2.0的步骤如下: 目前很多更大的服务提供商都使用OAuth 2.0.这不是一个完美的解决方案,但它可能是目前最安全,广泛的API安全方法. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- Discuz板块横排显示图片的实现方法
- php – Twitter搜索API – since_id和max_id可生成更多结果
- php 删除一维数组中某一个值元素的操作方法
- php – Symfony2捆绑包与兼容PSR-0的第三方库有什么区别?
- Yii2框架数据库简单的增删改查语法小结
- php_admin_value(php_admin_flag)和php_value(php_flag)
- Symfony2 app_dev.php only error 500脚本过早结束
- PHP 抓取新浪读书频道的小说并生成txt电子书的代码
- php可生成缩略图的文件上传类实例
- Smarty foreach控制循环次数的一些方法