Почему делают API (как Facebook, Last.fm и т.д.) генерируют сеансовые ключи для зарегистрированных пользователей?
Я создаю УСПОКОИТЕЛЬНЫЙ API для приложения, я продолжаю работать, и клиентские кодеры должны смочь отправить данные API от имени пользователя. Весь популярный API, который я использовал, требует, чтобы я отправил сгенерированный маркер сессии (созданный, когда пользователь зарегистрирован) для пользователя с запросом для размещения информации от пользовательского имени.
Мой вопрос из любопытства состоит в том, почему они API требуют сеансового ключа и не только позволяют мне отправлять имя пользователя и пароль снова с каждым запросом?
Спасибо.
1 ответ
Основная причина, без сомнения, заключается в проблеме безопасности при передаче конфиденциальных данных туда и обратно. Передача сеансового ключа означает, что в случае его взлома у злоумышленника будет ограниченный срок его жизни. Кроме того, если злоумышленник скомпрометировал сеансовый ключ, он не сможет использовать эту информацию для запуска атаки на другие веб-сайты, на которых у пользователя могут быть учетные записи (и, вероятно, будет использовать тот же пароль).
Еще одна причина использовать сеансовый ключ заключается в том, что если пользователь изменит свой пароль, пока вы заняты использованием API, вы не будете внезапно заблокированы.