PHP言語でRestfulなAPIの作成を学んでいます。
フレームワークはLaravel5.3を使用しています。
ユーザー認証のやり方ですが、FacebookのログインAPIのように、
トークンを発行してユーザーに持たせることで認証を行おうと思っています。
トークンを発行する際、有効期限をもたせた方がセキュリティ的にいいと思うのですが、
有効期限の情報はAPIを使用する側に渡すべきでしょうか?
それともトークンのみ渡して、データベースにアクセスする操作の際に1回1回トークンを受け取ってデータベースを参照し、有効期限を確認すべきでしょうか?
ご教授いただけますと幸いです。
トークン情報のデータベースの構造は以下の通りです。
|userid|token|timestamp|limit|
|:--|:--:|--:|
|ユーザーのID|乱数で生成されたトークン|トークン発行時のタイムスタンプ|いつまでトークンが有効かのタイムスタンプ|
認証的に甘いところがありましたらご指摘いただけると幸いです。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/02/20 00:25