将用户密码存储在PHP中以进行RESTful API身份验证
我目前正在设计架构的过程,它允许我的客户端网站使用交叉源标头在另一台服务器上与基本身份验证保护的主RESTful API
进行通信。
当用户在其中一个网站上注册时,表单会发布到PHP file
,然后创建一个流并将数据发布到主服务器上的API
(这两个服务器都是SSL安全的)。
这个问题出现在这之后。 随着对API
每次请求,我需要重新提供用户的用户名和密码,以便通过基本身份验证成功验证它们。
如何安全地存储用户的用户名和密码,以便在用户更改其帐户时,我可以继续向客户网站提供API访问权限?
它会被认为是足够安全的在会话变量中存储加密的用户名和密码? 用户会将敏感信息(如信用卡号码)传递给主API
因此安全性至关重要。
如果你确实需要在SESSION
存储用户名和密码。 然后用server-side key
加密username
和Password
。
此server side key
将位于server side key
中的文件中, 但不位于根文件夹之外的ROOT FOLDER中 ,您可以在向API
发送凭据时decrypt
。
因此,即使您的会话被劫持,也不会轻易破解server side key
的凭据。
也许你想看看这些链接
创建一个安全的REST API
SO - PHP会话安全
链接地址: http://www.djcxy.com/p/33791.html上一篇: Storing user password in PHP for RESTful API authentication