¿Debo hacer que mis llamadas a la API para actualizar a los usuarios contengan una contraseña o una clave de autenticación con hash?

3

Así que estoy creando una API para una aplicación que en el backend implica actualizar usuarios, eliminar usuarios y otras cosas relacionadas con el usuario.

¿Estoy usando the slim framework y me preguntaba cuándo el usuario desea actualizar los detalles (nombre, correo electrónico, teléfono) ¿Debo hacer que la API recupere un token de autenticación o la contraseña del usuario antes de actualizar los detalles?

Ejemplo de mi comando de curl ATM: Así que en este momento le estoy pasando el uID (prim key of user) que se almacenará en el teléfono.

curl -i -X PUT -H 'Content-Type: application/json' -d '{"name": "Jimbo Change", "email": "[email protected]","mobile":"0442889283","uID":"12"}' http://example.com/api/users/

¿Debería tal vez reemplazar el uID con un authentication token que está almacenado en la base de datos o debo crear un md5 / sha cifrado del correo electrónico y luego agregar la contraseña y el número de móvil?

Aprecio cualquier comentario / consejo!

Sal: Estoy entrando en seguridad y me encanta hasta ahora :)

    
pregunta James111 27.08.2015 - 08:52
fuente

1 respuesta

1
  

¿Debo hacer que la API recupere un token de autenticación o la contraseña del usuario?   antes de que se actualicen los detalles?

NO porque supongo que esta aplicación backend será utilizada principalmente por los administradores / operaciones de la web y ¿por qué deberían tener acceso a la contraseña del usuario o al token de autenticación?

Además, quienquiera que vaya a usar esta aplicación debe iniciar sesión en el sistema ellos mismos. y debes registrar las llamadas a API que hicieron.

    
respondido por el JOW 27.08.2015 - 11:39
fuente

Lea otras preguntas en las etiquetas