У меня есть мобильное приложение, взаимодействующее с сервером через HTTPS. При успешной регистрации я возвращаю приложение уникальный секрет API, который будет сохранен локально на устройстве. Этот секрет API используется для всех личных вызовов методов, сделанных сервером после успешной регистрации этого пользователя.Сохранение пользовательского API-интерфейса SHA в db
В заголовке каждого запроса, сделанного на сервере я поставил:
"key": username
"sign": (SHA256 of post_parameters using API secret)
Сервер принимает post_parameters и SHA256, используя уникальный API тайну имени пользователя, отмечаемые в дб. Если результат совпадает с «знаком», то доступ предоставляется.
Мой вопрос заключается в следующем:
Как сохранить уникальный API секрет каждого пользователя безопасности на сервере БД? Если кто-то получает доступ к именам пользователей и их секретам API, он полностью контролирует учетную запись пользователя.
Спасибо. Был именно тем, что я искал. – Ami
@Ami Добро пожаловать! Пожалуйста, нажмите на галочку, чтобы выбрать выбранный ответ, если вы сочтете это полезным. –
Я буду. BTW, предполагая, что мой секретный ключ составляет около 50 символов длинного текста без смысла, следует ли использовать соль? Я знаю, что он используется при хранении хэшированных паролей, поскольку пароли не являются таким вариантом. – Ami