我们网站上的所有呼叫都是通过https进行的,几乎所有资源呼叫都需要一个唯一的用户特定令牌,该令牌在登录时返回给客户端。但是,某些调用如忘记密码或初始用户创建需要不同的身份验证机制。我想到了一个超级用户令牌,但我不知道如何将它安全地传递给客户端(硬编码似乎不是一种选择)。有什么建议的做法来验证这些类型的电话吗?
答案 0 :(得分:1)
创建新帐户或重置忘记密码等功能通常根本不受保护(除了传输安全性 - https),因为必须按照定义完成,而无需用户登录。
您担心的威胁是什么?如果有人试图创建大量帐户,您可以在帐户创建逻辑中构建规则,即给定的IP地址也可以在特定时间段内创建有限数量的帐户。
如果您担心某人可能会使用重置密码功能来强制密码,您可以限制用户可以在某个帐户上尝试的密码重置次数。