Perché (come Facebook, last.fm ecc) generare chiavi di sessione di API per gli utenti registrati?
https://stackoverflow.com/questions/2787457
-
03-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto costruendo un'API RESTful per un'applicazione sto lavorando e codificatori client bisogno di essere in grado di inviare i dati alle API per conto di un utente. Tutto l'API popolare ho usato mi richiede di inviare la sessione generato per memoria (creato quando un utente è connesso) per l'utente con la richiesta di informazioni post sul conto degli utenti.
La mia domanda per curiosità è perché queste API richiedono una chiave di sessione e non solo mi permettono di inviare il nome utente e la password di nuovo con ogni richiesta?
Grazie.
Soluzione
Il motivo principale è senza dubbio un problema di sicurezza in giro passando di nuovo i dati sensibili e indietro. Passando un mezzo chiave di sessione che se è compromessa ha solo una durata limitata per l'attaccante usarlo. Inoltre, se un utente malintenzionato ha compromesso la chiave di sessione, non potevano utilizzare tali informazioni per lanciare un attacco contro altri siti web che l'utente può avere conti con (e probabilmente utilizzare la stessa password).
Un altro motivo per utilizzare la chiave di sessione è che se l'utente cambia la password, mentre si è occupati utilizzando l'API di voi non essere improvvisamente bloccato.
