[英]REST API. Should I double-check phone verification code when sign up
我有一個 REST Api 用戶注冊路徑如下:
在第二步中,如果輸入的代碼正確,我將手機標記為已驗證,在第三步中,我檢查手機是否已標記為已驗證。 但想象一個人驗證手機,另一個人(假設是黑客)嘗試跳過前兩個步驟並使用第一人的手機觸發/注冊。 由於手機已經過驗證,黑客成功注冊。
所以問題是如何使 /sign-up 安全? 我想到的一個想法是在第二步和第三步仔細檢查代碼。 但這會增加驗證代碼的持續時間,這不是很安全。 你能給我一些更好的建議嗎?
在使用 cookies 的服務上使用某種 session 系統。 當您注冊和驗證時,您會記住電話號碼以及是否在 session 中進行了驗證。
您不必再次詢問電話號碼,因為電話號碼應該是已知的並且在 session 中。
REST API中電話號碼驗證的路線和http方法應該是什么?
[英]What should be the routes and http methods for phone number verification in REST API?
需要通過REST API發送PDF,CSV和HTML格式的數據。 我應該發送文件還是發送JSON?
[英]Need to send data in PDF,CSV and HTML format from REST API. Should I send files Or send JSON?
在 Codeigniter 的 Rest API 中使用 JWT 令牌的最佳方法。 登錄和注冊的表架構應該是什么? 如果我在表中存儲令牌
[英]Best way to use JWT token in Rest API in Codeigniter. What should be the table schema for Login and Sign up? If I am storing token in table
如何使用Apache Marathon REST API擴展Docker實例?
[英]How to scale up docker instances using Apache Marathon REST API.?
當用戶嘗試使用已存在的用戶名注冊時,應該發送什么狀態代碼?
[英]What status code should be sent when a user tries to sign up with a username that already exists?
我使用clojure創建REST API。 如何自動生成REST文檔?
[英]I use clojure for creating REST API. How to generate REST documentation automatically?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
