碼上快樂

相關內容    簡體    繁體

**15.app后端怎么設計用戶登錄方案(API權限安全)

本文轉載自   查看原文   2015-03-17 16:29   2188    app后端架構/ 架構設計

在很多app中,都需要用戶的登錄操作。登錄,就需要用到用戶名和密碼。為了安全起見,暴露明文密碼的次數越少越好。怎么能最大程度避免泄露用戶的密碼呢?在登錄后,app后端怎么去驗證和維持用戶的登錄狀態呢?在本文中,給出了一套用戶登錄的解決方案,以供大家參考。


1. 保證登錄的安全性,最起碼要使用https協議



  避免信息的泄露,最簡單的方案是所有涉及到安全性的api請求,都必須要使用https協議。


  HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協議


  它是一個安全通信通道,它基於HTTP開發,用於在客戶計算機和服務器之間交換信息。它使用安全套接字層(SSL)進行信息交換,簡單來說它是HTTP的安全版。它是由Netscape開發並內置於其瀏覽器中,用於對數據進行壓縮和解壓操作,並返回網絡上傳送回的結果。HTTPS實際上應用了Netscape的安 全全套接字層(SSL)作為HTTP應用層的子層。


  http是超文本傳輸協議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協議。


  注意了,https協議需要到ca申請證書,一般免費證書很少,需要交費。


  我們可以看看所有大型網站,例如京東,淘寶,支付寶,涉及到登錄和支付的頁面,url都是以https開頭,這就意味着,這次通訊是使用https。開放平台的api,例如新浪微博,騰訊等,api請求都是以https開頭的。https是業界常用的保證安全性的協議。


  因此,涉及安全問題的api,都應該使用https協議。雖然,https為了保證安全性,在效率上是比http協議低。


2. 基本的用戶登錄方案



  在傳統的web網站中,可以使用cookie+session來實現用戶的登錄維護,那么在app后端,可以怎么實現呢?


  在app后端,怎么避免每次驗證用戶身份都需要傳輸用戶名和密碼呢?


  一個生活的模型就是:


  假設服務器是個房間,里面有個房間管理員,房間上的門有把鎖,這把鎖有兩種打開方式:


  1. 輸入了這把鎖上注冊的用戶名和密碼,就能打開


  2. 用房間管理員提供的鑰匙打開


  a.當第一次使用用戶名和密碼打開了這把鎖后,進入房間,找到房間管理員,讓他提供一把鑰匙。


  b.那以后每次需要進入這個房間,就用這把鑰匙就行了,不用擔心旁邊有人偷看到自己的用戶名和密碼.


  c.決定有一段時間不進入這個房間,又怕鑰匙被偷,就進入房間里,把鑰匙還給管理員,讓管理員把鑰匙毀滅


  a就是登錄的操作,b就是驗證身份的操作,c就是退出登錄的操作.


  理論版的描述如下:


  (1) 服務器接收到app發送的用戶名和密碼后,驗證用戶名和密碼是否正確。


  如果錯誤則返回錯誤信息。


  如果驗證正確,生成一個隨機的不重復的token字符串(例如"daf32da456hfdh"),在redis或memcache中維護一個映視表,建立token字符串和用戶信息的對應關系表,例如,把token字符串"daf32da456hfdh"和用戶id"5"對應起來。


  (2) 服務器把token字符串返回給app,app把這個token字符串保存起來,作為登錄的驗證。


  (3) 當需要驗證用戶身份的操作時,必須要把token字符串傳給服務器驗證身份。


  例如,api "test.com/user/update"是更新用戶的信息,必須要驗證用戶的身份.當調用api "test.com/user/update"時,把token字符串"daf32da456hfdh"放在url上,變成"test.com/user/update?token=daf32da456hfdh" .


  當服務器接收到這個api請求,知道要驗證用戶身份的,於是,就把參數中token的值"daf32da456hfdh"取出來,在(1)中建立的token字符串和用戶信息的對應關系表查找,如果發現沒這個token值的,則返回驗證失敗的信息。如果發現有這個token值,則獲取這個用戶的信息,進行相關的更新操作。


  (4) 當用戶退出登錄時,需要通過調用api,讓服務器把這個用戶對於的token字符串刪除.


  例如,api "test.com/user/logout"是退出登錄的api,也要驗證用戶身份, 則調用"test.com/user/logout?token=daf32da456hfdh" 。當服務器接到退出登錄的api請求時,在(1)中建立的token字符串和用戶信息的對應關系表查找token字符串,把token和用戶信息都刪除即可。


  注意:這個方案並不是十分安全,這個身份驗證是依賴於token字符串。如果用戶泄漏了自己的url, 那很大程度上token也被別人泄漏了,就相當於鑰匙被人復制了一份。在下篇的通訊安全中,會描述一個防止token在通訊中泄漏的方案。

 

注:當TOKEN過期了怎么辦?

一般TOKEN需要保存幾個月,當過期了之后,讓用戶重新登錄,輸入密碼,重新獲取TOKEN

 

http://blog.csdn.net/newjueqi/article/details/44062849


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 基於RESTful API 怎么設計用戶權限控制? 基於RESTful API 怎么設計用戶權限控制? 微服務下的用戶登錄權限校驗解決方案 Open API 安全設計 App開放接口api安全性—Token簽名sign的設計與實現 App開放接口api安全性—Token簽名sign的設計與實現 以GitHub用戶權限登錄項目 OAuth 2和JWT - 如何設計安全的API? 用戶角色權限設計(轉) 用戶·角色·權限·表的設計
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM