¿Cómo almacenar un token de una API tranquila?

Navega tus respuestas
1

Es una pregunta básica, pero veo en muchos tutoriales de autenticación en servicios web tranquilos que algunos usuarios van a un sitio web y se registran con un ID y una contraseña. Después de este registro, el servidor envía un token, de modo que se puede usar en su aplicación enviando este token en cada solicitud de API (en el encabezado, por ejemplo).

Me hace pensar en la seguridad para almacenar un token en la base de datos como el mismo de las solicitudes del cliente.

¿Es mejor almacenar este token con hash o algo así?

    
pregunta gog 24.11.2015 - 17:51
fuente

1 respuesta

0

Ya que generará una clave de API para cada usuario, podría hacer exactamente lo que sugiere, lo que esencialmente es tratar cada token como si fuera una contraseña. Puede almacenar el ID, el salt y el hash del token en su base de datos. El hash es excelente siempre que nunca necesites recuperar la clave original.

Tenga en cuenta que, dado que esto es algo que su sistema está generando, no es tan importante hacer un hash en primer lugar (a diferencia de una contraseña generada por el usuario). Pero esto depende de tu modelo de amenaza. Si alguien hackea su servidor, ¿le importaría si tuviera una lista de la clave API de todos? Si es así, entonces hash de ellos es el camino a seguir.

    
respondido por el TTT 24.11.2015 - 18:07
fuente

Lea otras preguntas en las etiquetas

Acceda a los servicios de LAN a través de una página web maliciosa ¿Cómo decirle a sqlmap que reanude un exploit a partir de los resultados - *. csv file?