我正在为我的网站构建API,但我遇到了问题。我希望我的用户能够使用API“登录”他们的帐户,但我的网站不使用用户名/密码系统,它使用Twitter的API和cookie /会话进行身份验证。我正在尝试考虑允许用户使用API发布数据而不影响安全性的最佳方法。基本上我需要一种方法来确保用户是他们所说的来自应用程序的人。
我想到的一个想法是让用户创建一个密码,用于通过API中的方法“登录”。向此方法发送正确的凭据(Twitter用户名及其选定的密码)将返回与其帐户关联的令牌。为了更进一步,我可以将令牌(本质上是一个API密钥)最初设置为非活动状态,并让API也返回一个密码,该密码也与用户的帐户相关联。然后用户必须登录他们在网站上的个人资料并输入密码,这将激活他们的令牌并允许他们使用API发布。
我想让用户更简单,但我不想潜在地损害其他用户的安全性。任何人都可以建议一个更好的方式做这样的事情,或者让我知道我建议的方式是否是一个好方法呢?
答案 0 :(得分:0)
身份验证/授权,IMO是您需要创建的独立应用程序层。它常见的叫做:ACL。
与您最近的问题相关,我建议您使用oAuth实现,或者使用某些HTTP身份验证。