Restful api认证机制的问题

精华

jinlunxue 2016-10-21 02:04:50 浏览(3231) 回复(4) 赞(0)

目前是采用json web token这种机制，验证合法用户后返回一个toekn，然后该用户每次请求都带上这个token，最后服务器验证token是否合法。但是这样有一个弊端：token很容易让别人获取到，这样就能访问任意的api，不安全。这需要用上https来保证安全？想请教一下大家有哪些更好更安全的认证机制。

标签： nodejs

回答(4)

smartwolf111 2016-10-21

1.开放平台一搬用oauth验证机制。

2.一般的接口验证的话，可以发放一个secretkey给用户（secretkey可以是通过oauth验证方式发放，也可以手动发放），然后请求参数加一个sign参数，sign等于hash(secretkey+paramsStr+secretkey),服务器验证sign是否合法，这种方式不需要传输secretkey。