Come memorizzare un token di un'API riposante?

1

È una domanda di base, ma vedo molti tutorial sull'autenticazione in servizi Web riposanti che alcuni utenti visitano un sito Web e si registrano con un ID e una password, dopo questa registrazione il server invia un token, in modo che l'utente può utilizzare nell'applicazione l'invio di questo token in ogni richiesta API (nell'intestazione, ad esempio).

Mi fa pensare alla sicurezza di memorizzare un token nel database come lo stesso delle richieste del client.

È meglio memorizzare questo hash del token o qualcosa del genere?

    
posta gog 24.11.2015 - 17:51
fonte

1 risposta

0

Dato che genererai una chiave API per ogni utente, potresti fare esattamente come suggerisci tu - che tratta essenzialmente ogni token come se fosse una password. È possibile memorizzare l'id, il salt e l'hash del token nel database. L'hashing è ottimo se non hai mai bisogno di recuperare la chiave originale.

Si noti che poiché questo è qualcosa che il sistema sta generando, non è altrettanto importante cancellarlo in primo luogo (a differenza di una password generata dall'utente). Ma questo dipende dal tuo modello di minaccia. Se qualcuno ha hackerato il tuo server, ti importerebbe se avessero un elenco delle chiavi API di tutti? Se sì, allora l'hashing è la strada da percorrere.

    
risposta data 24.11.2015 - 18:07
fonte

Leggi altre domande sui tag