API Authorization 有很多方式
一般的身份驗證方式是向server發出request取得token,再拿token去呼叫server API
那第一步該如何製作取得token 的API部分, 我在網路上看到一些基本basic auth
會把帳密加密後,然後放在header傳給server, 但這樣瀏覽器按個F12檢查,就能查到
basic token,這樣就可以拿來使用....
因此,建議加入timestamp與限制期限的token來防止有心人士濫用
流程如下 :
1. 準備一組帳密 (ex. admin, 123456)
2. 把密碼跟timestamp做SHA256加密
3. 把此加密token放到header, post data 則打上帳號與timestamp, 發出request
4. server 端, 即可把拿到帳號與timestamp做一次一樣的加密來比對
如此一來,密碼本身不會洩露出來,也可以在server限制timestamp的期限,讓別人不容易使用token