2018年9月13日 星期四

[加密] Header Authentication (1) - 建立取用API Token


API Authorization 有很多方式


一般的身份驗證方式是向server發出request取得token,再拿token去呼叫server API


那第一步該如何製作取得token 的API部分, 我在網路上看到一些基本basic auth


會把帳密加密後,然後放在header傳給server, 但這樣瀏覽器按個F12檢查,就能查到


basic token,這樣就可以拿來使用....


因此,建議加入timestamp與限制期限的token來防止有心人士濫用




流程如下 :


1. 準備一組帳密 (ex. admin, 123456)


2. 把密碼跟timestamp做SHA256加密


3. 把此加密token放到header, post data 則打上帳號與timestamp, 發出request


4. server 端, 即可把拿到帳號與timestamp做一次一樣的加密來比對


如此一來,密碼本身不會洩露出來,也可以在server限制timestamp的期限,讓別人不容易使用token