现有一个resetful api,是给手机APP使用的,APP大多数内容是不需要登录即可浏览,但是也有一部分是注册用户登录后才能使用的,有什么办法能验证这个登录后的用户真实性,想过返回一个access_token(自定义的,非oauth方法),但还是感觉会有冒用的风险。请教有什么办法验证这个用户的真实性而不是盗用access_token冒充的?
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
3
949
收藏
resetful 无状态,就肯定有会有被冒用的可能性。
使用和客户端同一套加密方式产生token。
token不合法,直接拒绝。
验证通过,根据里面的信息,比如有个用户id=1,服务器解密后判断id=1用户是否登录即可。
如果客户端被反编译,算法被知道,用户还是要登录才行,因为登录信息在服务器。
理论上说,如果每次token都不一样,是不存在被抓包的可能性的,那样没意义。
私有API可以使用token来验证用户身份,再控制好用户的请求频度,避免API滥用。