我正在使用泽西创建一个REST Web服务。我想基于令牌对用户进行身份验证。一旦用户通过提供用户名和密码登录,我就会使用bcrypt生成一个身份验证令牌并将其发送给用户。
我的问题是,如果我们将bcrypt加密令牌发送给用户并将其存储在服务器中,如果某个黑客获得数据库,他可以使用令牌并以任何用户身份登录。那么加密的目的是什么呢。
我在论坛上搜索但未能找到答案。提前谢谢。
答案 0 :(得分:0)
令牌应包含通用日期时间,令牌可以“到期”。经过一段时间。 查看此页面:http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/