我们允许开发人员让他们的用户通过API登录我们的网站/平台。登录将通过HTTPS访问我们的API,因此它至少会安全地传递用户名和密码。
但在那之后,通过API“记录”此人的最有效方法是什么?这就是我的想法。
// app将用户名和密码传递给API
//我们的API处理用户名和密码。
//如果登录失败,输出失败代码
//如果登录成功,则创建一个authcode并将其保存在用户的表中。将authcode和user_id发送回应用
现在,每次用户执行操作(例如发表评论)并且它命中我们的API时,我们都需要user_id和authcode才能进行身份验证。
我错过了什么吗?我应该在X小时后包含一个过期列来“注销”用户吗?
答案 0 :(得分:1)
一般来说,你的过程很好。这与互联网上的一些主要API工作方式相同。
您可以考虑添加一些内容(现在或将来):