通过具有JSON响应的URL在客户端服务器中进行身份验证

Question

我希望在客户端和服务器之间通过HTTPS实现双向通信通道.客户端通过URL(如http://example.com/method/param1/param2 )进行通信，服务器通过JSON进行响应。

我希望在PHP中实现这一点。但是，我不知道如何使用身份验证来做到这一点。

我只需使用登录名和密码对用户进行身份验证，并将密钥发回。用户可以使用此临时密钥进行通信。密钥在一段时间后到期。不过，我想知道这是否行业标准呢？

Answer 1

我认为不存在标准，但OWASP提出了基于会话的身份验证。当用户验证为什么用户和密码或apikey和令牌允许用户使用API时，向用户发送一个令牌，注意:用户密码和每个密钥不能在URL中显示。

参考资料：Sheet

身份验证和会话管理 RESTful web服务应该使用基于会话的身份验证，要么通过POST建立会话令牌，要么使用API密钥作为POST体参数或cookie。用户名、密码、会话令牌和API密钥不应出现在URL中，因为这可以在web服务器日志中捕获，这使得它们具有内在的价值。 OK：https://example.com/resourceCollection//actionhttps://twitter.com/vanderaj/lists NOT :URL)http://example.com/controller//action?apiKey=a53f435643de32中的API键(https://example.com/controller//action?apiKey=a53f435643de32 )(不受TLS保护的事务；URL中的API键)