我正在使用PhoneGap和后端的REST API开发移动应用程序。 REST API不会被第三方开发人员使用,但将是特定于应用程序的,因此不需要实现oAuth。因此,我打算使用基本身份验证,在用户输入用户名/密码以访问API资源。所有API通信都将在SSL上。
我宁愿在第一次登录请求时验证用户名/密码并发回GUID令牌,而不是让应用程序存储用户名/密码并将其与API的每个请求一起发送。客户端存储此GUID令牌,并通过Authorization标头将每个请求发送回API,如下所示:
授权:基本e1d9753f-a508-46cc-a428-1787595d63e4
在服务器端,用户名/ GUID组合将存储在服务器上,并带有到期日期和设备设置。这将允许跟踪用户登录的设备数量,以及Guid到期后会话到期。
这种方法听起来合理且安全吗?
答案 0 :(得分:27)
根本不需要创建自定义标头或身份验证方案。
Bearer身份验证方案专为您的用例而设计:
Authorization: Bearer e1d9753f-a508-46cc-a428-1787595d63e4
Basic身份验证必须如下:
Authorization: Basic base64EncodedUsernameAndPassword
其中base64EncodedUsernameAndPassword等于:
base_64_encode(username + ':' + raw_password)
如果尾随文本值不是上述精确算法,请不要使用Basic。
如果您只想在方案名称后添加所需的任何值,请使用Bearer方案 - 这就是它的发明。
虽然您可以使用简单的GUID / UUID作为令牌,但这并不是一个真正的安全令牌。请考虑使用JWT。 JWT可以进行数字签名并分配一个TTL,这样只有服务器设置它才能a)创建它并验证其真实性b)确保它的使用时间不超过允许的时间。虽然可能对于基于GUID存储的数据是正确的,但JWT方法不需要服务器状态 - 因此它可以更好地扩展 - 并完成同样的事情。
答案 1 :(得分:16)
一般的“使用令牌进行身份验证”方法非常好,但您不应该尝试以与预期不同的方式使基本身份验证工作(毕竟它是一个已定义的标准)。您应该使用自己的标头进行身份验证。您可以在这里找到对此类场景的非常好的描述: