将用户密码存储在PHP中以进行RESTful API身份验证

 

我目前正在设计架构的过程,它允许我的客户端网站使用交叉源标头在另一台服务器上与基本身份验证保护的主RESTful API进行通信。

当用户在其中一个网站上注册时,表单会发布到PHP file ,然后创建一个流并将数据发布到主服务器上的API (这两个服务器都是SSL安全的)。

这个问题出现在这之后。 随着对API每次请求,我需要重新提供用户的用户名和密码,以便通过基本身份验证成功验证它们。

如何安全地存储用户的用户名和密码,以便在用户更改其帐户时,我可以继续向客户网站提供API访问权限?

它会被认为是足够安全的在会话变量中存储加密的用户名和密码? 用户会将敏感信息(如信用卡号码)传递给主API因此安全性至关重要。

如果你确实需要在SESSION存储用户名和密码。 然后用server-side key加密usernamePassword

server side key将位于server side key中的文件中, 但不位于根文件夹之外的ROOT FOLDER中 ,您可以在向API发送凭据时decrypt

因此,即使您的会话被劫持,也不会轻易破解server side key的凭据。

也许你想看看这些链接

创建一个安全的REST API

SO - PHP会话安全

链接地址: http://www.djcxy.com/p/33791.html

上一篇: Storing user password in PHP for RESTful API authentication

下一篇: User registration/authentication flow on a REST API