¿Un sustituto de contraseña?

3

Actualmente, tengo un sitio web que registra a los usuarios y luego realiza un seguimiento de la sesión utilizando PHPs $ _SESSION. Estoy tratando de transferir esto a una aplicación de Android, lo que significa que no puedo usar las sesiones para hacer un seguimiento del inicio de sesión de un usuario. Estaba pensando que una forma de evitar esto sería generar un token de autenticación largo en el servidor cuando el teléfono del usuario inicia sesión, que luego se almacenaría en el teléfono. Esto podría luego pasar en la URL de cualquier solicitud del teléfono al servidor, permitiendo que el teléfono acceda a los datos del usuario. ¿Qué tan seguro sería este enfoque?

    
pregunta macleos 19.02.2017 - 23:42
fuente

2 respuestas

1

Use JWTs: enlace , en mi opinión, son la mejor manera de administrar sesiones, especialmente en comunicaciones basadas en API. También le permiten enviar cualquier información arbitraria en el token cifrado, ideal para el registro y la depuración.

Aquí hay un PHP que funciona bien: enlace

    
respondido por el Trickycm 12.09.2017 - 15:04
fuente
0

Es seguro, es como $ _SESSION.

Pero el servidor debe ignorar el token si un usuario hace clic en cerrar sesión o cambia la contraseña. Una buena idea es usar HTTPS y actualizar tokens durante algún tiempo.

Si es una aplicación crítica, puedes usar un segundo factor en lugar de un nombre de usuario y contraseña.

El token no debe estar basado en un generador de números pseudoaleatorios débiles o generado por un cifrado. No es seguridad.

    
respondido por el Sha000 08.09.2017 - 20:31
fuente

Lea otras preguntas en las etiquetas