Sto costruendo web-app. E ho preoccupazioni per i problemi di sicurezza.
Nel mondo molte domande simili, ma molte di esse non hanno una risposta chiara (consiglio, suggerimento). Questo è il motivo per cui ho fatto questa domanda.
Ho una pagina di accesso con nome utente e password. L'utente li eseguirà tramite HTTPS.
Il server lo confronterà con il nome utente e la password del DB e se tutto è a posto, genererà access_token
usando un approccio specifico come: sha1(username + password + expiration_date)
, btw, expiration_date
è Unix l'ora di scadenza del token. Nel risultato expiration_date
e access_token
saranno scritti in DB nel record utente correlato, access_token
verrà sicuramente inviato all'app JavaScript JavaScript da HTTPS.
Quindi tutte le richieste dall'app client verranno eseguite da HTTPS e access_token verrà incluso in ogni richiesta di intestazione. Il lato server dovrebbe autorizzare questa richiesta e rilevare l'ID utente che ha inviato questa richiesta. Il server effettuerà la ricerca nel DB di access_token
e controllerà expiration_date
). Dopo che access_token sarà stato fondato, dovrai verificare la seguente condizione: current_date <= expiration_date
, se true poi ok, se false allora dobbiamo rigenerare access_token usando il nuovo expiration_date e salvarli su DB e inviare% nuovo% co_de al client?
se sì, allora cosa ne pensi di questo approccio alla sicurezza?