私が書いているWeb APIに使用する許可/認証スキームについてのアドバイスが欲しいのですが。
まず、認証:
1)ユーザーが最初にログインして認証されたときに、一意のトークンをクライアントに送り返します。このトークンは、ユーザーを認証するために、後続のAPIリクエストで使用されます。
私が助けを必要とする部分は、トークンの作成に使用する暗号化のタイプです。私はRSAを使用することを計画していましたが、トークンは強迫観念のように思われる50文字以上になりました。 トークンが長すぎないように使用するためのより良い暗号化とは何ですか?
2)2番目は、ユーザーの許可です。
これは承認の良い形式ですか?
あなたが提供できるあらゆる助けをありがとう。
Re:トークン
user_id, token, token_expires_at, ip_address
)。randomString123-$IPADDRESS-$EXPIRATION
のようになります。Re:SSL
リクエストにSSLを使用していない場合、データとトークンは実際には秘密ではありません。まずこれを修正する必要があります。