我有一个网站允许用户检查他们的统计信息(上传的文件数量、他们拥有的文件数量、配额、访问类型等...)
我在我的网站上创建了一个部分:api.domain.com
这可以通过 curl 或网络浏览器访问,因为我返回的是 json 对象或 xml(取决于用户偏好)
我的问题是:我应该使用用户/通行证限制访问还是应该创建用户文件的哈希?
例如:
场景 1:
用户创建一个 php curl 发送用户并通过 post 或 curl auth 传递并取回结果,解析它等等......
对我来说这是安全的,但如果用户更改通行证,则必须维护他的脚本
场景 2
用户访问如下文件:api.domain.com/j355HGssgf3HESAjh45jusf4325GSj5hbsHhdh5HGHFS3732he4548475wbe3447nSNe5XfgjhGJ
然后访问数据
这个,没什么好维护的
最佳答案
这是我对此的看法。
如果您在向您的页面发出请求时返回找不到页面或错误消息(具有良好的 200 OK 状态),它可能会向机器人或不可信的人发送一条线索,告诉他们他们可以获得什么并尝试一次又一次……
另一方面,如果您发送访问被拒绝,例如 401 或更好的 500 错误代码来模拟服务器错误,这些机器人或不可信的人可能会永远消失。
在这种情况下,我会说用户/密码方法更安全一些。
现在,您是否相信在检查邮件时只输入一个大字符串(如场景 2)?还是您的银行账户信息?
关于php - api安全实现php,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8365248/