[英]Storing user password in PHP for RESTful API authentication
我目前正在设计架构,该架构允许我的客户端网站使用跨源头与另一台服务器上的基本身份验证保护的主RESTful API
进行通信。
当用户在其中一个网站上注册时,表单会被发布到一个PHP file
,然后该PHP file
会创建一个流并将数据发布到主服务器上的API
(两台服务器都受 SSL 保护)。
问题出现在这之后。 对于对API
每个请求,我都需要重新提供用户的用户名和密码,以便通过基本身份验证成功对其进行身份验证。
如何安全地存储用户的用户名和密码,以便在用户更改其帐户时继续向客户网站提供 API 访问权限?
在会话变量中存储加密的用户名和密码是否足够安全? 用户会将信用卡号等敏感信息传递给主API
因此安全性是重中之重。
如果你真的需要在SESSION
存储用户名和密码。 然后使用server-side key
加密username
和Password
。
此server side key
将位于您服务器中的文件中,但不在根文件夹中,位于根文件夹之外,您可以在将凭据发送到API
进行decrypt
。
因此,即使您的会话被劫持,在没有server side key
也不容易破解凭据。
可能你想看看这些链接
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.