我正在构建一个允许用户创建,编辑和保存文档的web应用程序。用户帐户的数据库是分开控制的,我已经提供了一个SOAP API,它会告诉我一个给定的用户名/密码是否有效。如何通过第三方API安全地维护用户身份验证?
假定用户名/密码有效,则API将会给我回了以下信息:
•电子邮件地址
•用户名
•login_number(该帐户唯一ID,似乎是一个自动递增INT )
我会将我的应用程序的数据存储在我自己的数据库中,所以我可能会使用login_number将数据绑定到单个用户。
我的问题是,一旦用户成功登录后,我应该如何跟踪用户。将login_number存储为cookie可能会起作用,但似乎对我来说会非常不安全。我正在考虑一些存储某种随机哈希的cookie,并在查找表中存储该哈希和相关的login_number,但我不确定这是否足够。
标签为PHP/MySQL,因为这是我计划使用的后端,但不确定这对于这个问题确实很重要。
样的改变现时防止中间人攻击的人,只要你不重复的随机数和更改它与每个请求。不过,我认为在注销时改变已经足够了。 – cmaynard 2011-02-08 20:14:10