Un sostituto della password?

3

Attualmente, ho un sito Web che registra gli utenti e quindi tiene traccia della sessione utilizzando PHP $ _SESSION. Sto cercando di trasferirlo a un'app per Android, il che significa che non posso utilizzare le sessioni per tenere traccia del login di un utente. Stavo pensando che un modo per aggirare il problema sarebbe quello di generare un token di autenticazione lungo sul server quando il telefono dell'utente si collega per la prima volta, che verrà quindi memorizzato sul telefono. Questo potrebbe quindi essere passato nell'URL di qualsiasi richiesta dal telefono al server, consentendo al telefono di accedere ai dati dell'utente. Quanto è sicuro questo approccio?

    
posta macleos 19.02.2017 - 23:42
fonte

2 risposte

1

Usa JWT: link , sono a mio parere il modo migliore per gestire le sessioni, specialmente nelle comunicazioni basate su API. Inoltre ti permettono di inviare qualsiasi informazione arbitraria nel token crittografato, ottimo per la registrazione e il debug.

C'è un PHP qui che funziona bene: link

    
risposta data 12.09.2017 - 15:04
fonte
0

È sicuro, è come $ _SESSION.

Tuttavia, il server deve ignorare il token se un utente fa clic su Esci o modifica passsword. Una buona idea è usare HTTPS e aggiornare i token per qualche tempo.

Se è un'applicazione critica, puoi utilizzare un secondo fattore al posto di nome utente e password.

Il token non dovrebbe essere basato su un generatore di numeri pseudocasuali debole o generato da un codice. Non è sicuro.

    
risposta data 08.09.2017 - 20:31
fonte