1
对于API认证:什么是明智的做法:使用加密的令牌吗?基于令牌
- 在保存加密或不加密的dabase令牌?
- 对于身份验证:找到基于令牌的用户(仅当令牌被存储在数据库中未加密)或基于例如用户的电子邮件地址?
我发现了几个似乎存储未加密标记的源,然后在身份验证中根据API请求收到的标记找到用户。这似乎有点不安全给我,从那以后后端对搜索请求中包含令牌的基础上,整个User
表,而不管是哪个用户具有令牌(所以有人可能只是尝试了许多标记)。同时我不知道是否有必要加密令牌。