Tengo un sitio web para el que estoy creando un módulo de Drupal que permite a los usuarios de ese sitio de Drupal navegar a mi sitio web directamente desde el sitio de Drupal.
Tengo la intención de distribuir claves de API secretas a cada uno de los administradores del sitio de Drupal y necesitan ingresar ese valor en su copia del módulo de Drupal.
Cuando este sitio de Drupal presenta mi módulo a sus usuarios, hacer clic en ciertos enlaces debería llevar al usuario a mi sitio junto con un conjunto de datos secretos que mi sitio puede usar para autenticar esta navegación. Habrá un FORMULARIO presentado al usuario y un enlace presente para que al hacer clic en el enlace 'envíe' el formulario a través de POST y redirija al usuario también.
Necesito usar esta clave 'api' secreta para generar algún tipo de código de tiempo limitado / único que se le dará al navegador del usuario. Cualquier usuario inteligente que copie este código generado no debería poder reutilizarlo para ingresar a mi sitio más adelante.
-
¿Debería usar esta clave API como contraseña para cifrar algunos datos que coinciden con el resto de la solicitud POST? Al recibirlo, lo descifro utilizando mi copia de su clave de API y si coincide con el resto de los datos, ¿lo considero validado?
-
¿O debería hacer algún tipo de hashing unidireccional - md5?
-
¿Debo cambiar la dirección actual de forma unidireccional y permitir el acceso solo durante 5-10 minutos?
(movido desde enlace )