我目前正在用PHP开发一个RESTful API,我想对它实现一些用户身份验证。我已经阅读了一些文献,允许通过rest API进行身份验证的最有效/安全的方法似乎是通过oauth协议使用访问令牌。
我已经理解了协议的工作方式,但我不知道如何将其实现到我们的api&当用户获得其访问令牌时,数据库。关于它的文件非常不清楚/几乎不存在。。。
我的想法基本上是将这个access_token保存在我的"users"MySQL表中。通过这种方式,我们可以验证用户是否存在,并且在API上的每个请求期间是否具有适当的权限。
然而,我不确定这是最合适的方式。它足够安全吗?你个人将如何处理这个问题?
由于此访问令牌就像一个临时密码,因此您确实可以将其存储在表中。
但是,与存储密码一样,您可能需要对令牌进行散列和加盐处理(取决于您的令牌猜测相对容易的程度)。查看此处的原因和方法:PHP密码的安全散列和salt