首先 - 我不太热衷于网络开发,所以请保持温柔;) 我收到 friend 的一个简单请求,要求创建一个小程序,向用户显示一些个性化数据并允许向数据库添加新值。问题是让用户登录。我对我的系统有这样的想法:
- 小程序
- WebService访问数据库(基于Slim框架)
- 数据库。
Applet 只能访问 WebService。通过 https 连接是安全的。 在数据库的“用户”表中,我存储用户名、散列密码和盐。但是,我不想在每次调用数据库时都发送用户凭据。这可能不安全。我应该怎样做才能保证安全?
====编辑===== 或者也许使用 HTTPS + 基本身份验证就足够了?
最佳答案
使用基本身份验证的问题是您必须在小程序本身中对凭据进行硬编码。出于多种原因,不建议这样做,特别是如果它将是前端/最终用户小程序,因为他们可以相当轻松地获取这些凭据,这意味着您刚刚在 Web 服务器上为他们提供了一个有效的操作系统帐户。
只需使用带有 cookie 或 token 的简单 session 管理即可。用户经过一次身份验证,然后 session 标识符随每个请求一起发送,当 session 在 Web 服务上有效时,它将接受有效的请求。
关于java - 小程序的用户身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22076657/