java - 这种验证方式还有什么问题？

问题描述

问 题

Tag：完全restful风格的API，关于调用安全的问题，我的想法是这样处理的。

流程：

1.首先用户调用登陆的api，成功登陆的话返回用户的user_id，以及随机生成的token_id。
2.后端直接把user_id和token_id作为键值对放在redis中，固定时间失效。
3.其余api每次调用时都要带上这两个参数，每次都从redis查出比较。其中user_id作为用户识别，多变的token作为登陆flag，过时消失。。
4.ssl

问：这样还有什么问题吗？

还有关于restfulapi 如何防止重攻击，大家有好的方法吗？

解决方案

user_id使用可逆加密来传输

这篇关于java - 这种验证方式还有什么问题？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！