推荐做法 - API 新用户创建的身份验证
Recommended Practices - API Authentication for new user creation
我们网站上的所有调用都通过 https 进行,几乎所有资源调用都需要一个唯一的用户特定令牌,该令牌会在登录时返回给客户端。但是,某些调用(如忘记密码或初始用户创建)需要不同的身份验证机制。我想到了一个超级用户令牌,但我不知道如何将它安全地交给客户端(硬编码似乎不是一种选择)。请问对这些类型的呼叫进行身份验证的推荐做法是什么?
创建新帐户或重置忘记的密码等功能通常根本不安全(除了传输安全 - https),因为它们必须根据定义在用户未登录的情况下完成。
您担心的威胁是什么?如果有人试图创建大量帐户,您可以在帐户创建逻辑中构建规则,即给定 IP 地址在特定时间段内也可以创建有限数量的帐户。
如果您担心有人可能会使用重设密码功能来暴力破解密码,您可以限制用户在特定帐户上可以尝试重设密码的次数。
我们网站上的所有调用都通过 https 进行,几乎所有资源调用都需要一个唯一的用户特定令牌,该令牌会在登录时返回给客户端。但是,某些调用(如忘记密码或初始用户创建)需要不同的身份验证机制。我想到了一个超级用户令牌,但我不知道如何将它安全地交给客户端(硬编码似乎不是一种选择)。请问对这些类型的呼叫进行身份验证的推荐做法是什么?
创建新帐户或重置忘记的密码等功能通常根本不安全(除了传输安全 - https),因为它们必须根据定义在用户未登录的情况下完成。
您担心的威胁是什么?如果有人试图创建大量帐户,您可以在帐户创建逻辑中构建规则,即给定 IP 地址在特定时间段内也可以创建有限数量的帐户。
如果您担心有人可能会使用重设密码功能来暴力破解密码,您可以限制用户在特定帐户上可以尝试重设密码的次数。