Http 基于令牌的restapi认证机制
我在本地网络中有一个网络设备(运行c++),它运行一个http(s)服务器,并提供一个类似REST的webservice接口来提供一个API来控制该设备。 现在我的问题是,如何授权用户(同一网络中的android智能手机)使用RESTAPI? 场景是这样的:智能手机上的用户必须输入PIN码(4位数字)才能访问api,从那时起,应该可以调用所有其他REST api方法 我的想法是: 1) pin码将通过http(s)POST正文发送到设备,设备检查是否正常。 2) 如果PIN码正确,设备将生成一个令牌,该令牌必须在将来的每个请求中使用 因此,我的问题是: *如何使用C++生成设备上的这种令牌(什么算法)? *如何在每次请求时传输令牌?作为查询参数?还是在帖子里?还是在标题中 编辑:我也读到了。这也可以用在我的设置中吗?Http 基于令牌的restapi认证机制,http,rest,authentication,Http,Rest,Authentication,我在本地网络中有一个网络设备(运行c++),它运行一个http(s)服务器,并提供一个类似REST的webservice接口来提供一个API来控制该设备。 现在我的问题是,如何授权用户(同一网络中的android智能手机)使用RESTAPI? 场景是这样的:智能手机上的用户必须输入PIN码(4位数字)才能访问api,从那时起,应该可以调用所有其他REST api方法 我的想法是: 1) pin码将通过http(s)POST正文发送到设备,设备检查是否正常。 2) 如果PIN码正确,设备将生成一个
当使用标题或帖子正文提交令牌时,不要在Url中作为查询字符串的一部分
请参见OWASP页面了解其余内容:简短的回答是:将其存储在标头中,代码可以使用哈希算法生成令牌,您的想法在第一点是正确的,但请确保这些令牌具有有限的生存期