ウェブ開発の経験がほとんどないため、私の知らせを赦してください。ユーザーとリクエストの認証を実装する
私はユーザーパスワードをポスト/取得パラメータとしてハッシュし、それをデータベースに格納するという単純なメカニズムを実装しました。ユーザーが正常にログインすると、ユーザーID(データベースのPK)がクライアントに返されます。後続の要求には、要求を検証するための基本的なメカニズムとして使用されるユーザーIDが必要です。
シンプルなhttp認証から始めて、塩漬けのハッシュ(私が使用している)を使って、一見複雑なOAuth
認証にアクセストークンを実装して、いくつかのメカニズムについて読んだことがあります。ああ!おそらく約https
のようになります。
まだ理解している最後の2つを除いて、私は答えを見つけることができなかった非常に基本的な質問をしているようです。
これはプログラミングに関する直接の質問ではありませんが、私が尋ねる理由は、Googleで答えを見つけることができないか、正しい検索キーワードを使用していないことです。
私はこのメカニズムを実装していてもhttpsを使用していなくても、アクセストークンとAPIキーなどのすべてのメカニズムを考慮して、質問を実装するのに何か問題はありますか?誰もがクリアテキストのパスワードやユーザIDを盗聴できるように、トークン/キーを詮索し、それを悪意のある意図で使用して、そのメカニズム全体を役に立たなくすることができます。それはhttpsが本当に安全な唯一のオプションだということですか?
私はここに何かを紛失しているはずですが、ポインタは本当に感謝しています。
その投稿はすごく読み物です。私はセキュリティの分野では初心者ですから、後の部分が一番上になりました。基本的なものすべてを最初に得るために推薦するソースはありますか?私は、対象を扱うサイトにはトンがあるが、どこから始めるべきか分からないということを意味する。 –
ありがとう:)あなたがセキュリティに興味があるなら、私のシリーズでパート1を読んでそこから始めてください。一般的な技術であれば、ここで多くの質問をしたり、書籍をたくさん読んでください。 –