我正在構建一個允許用戶創建,編輯和保存文檔的web應用程序。用戶帳戶的數據庫是分開控制的,我已經提供了一個SOAP API,它會告訴我一個給定的用戶名/密碼是否有效。如何通過第三方API安全地維護用戶身份驗證?
假定用戶名/密碼有效,則API將會給我回了以下信息:
•電子郵件地址
•用戶名
•login_number(該帳戶唯一ID,似乎是一個自動遞增INT )
我會將我的應用程序的數據存儲在我自己的數據庫中,所以我可能會使用login_number將數據綁定到單個用戶。
我的問題是,一旦用戶成功登錄後,我應該如何跟蹤用戶。將login_number存儲爲cookie可能會起作用,但似乎對我來說會非常不安全。我正在考慮一些存儲某種隨機哈希的cookie,並在查找表中存儲該哈希和相關的login_number,但我不確定這是否足夠。
標籤爲PHP/MySQL,因爲這是我計劃使用的後端,但不確定這對於這個問題確實很重要。
樣的改變現時防止中間人攻擊的人,只要你不重複的隨機數和更改它與每個請求。不過,我認爲在註銷時改變已經足夠了。 – cmaynard 2011-02-08 20:14:10