为我的网站创建了一个具有各种端点的 Flash Restful API。某些端点需要用户用户名和密码才能获取用户特定数据。我目前正在 API 调用中将这些作为参数发送,但我假设这不安全,那么如何安全地执行此操作?
有很多不同的方法可以做到这一点,但人们普遍认为,使用可以撤销的令牌是比使用用户名/密码组合更安全的身份验证方法。这是因为如果用户名/密码泄露,则无法撤回。
我建议阅读 Miguel 的以下博客。他解释了密码身份验证和令牌。
您可以创建一个单独的 api 路由,充当登录名,并在成功登录时返回 sessionID/令牌,可用于对您提到的那些端点进行身份验证。
这是一个很好的新兴话题吗? 您找到解决这个问题的好方法了吗?
我要查看令牌响应。
发送数据怎么样?