내 웹 사이트 용 API 스크립트를 만들었으므로 다른 웹 사이트에서 로그인 할 수 있습니다. PHP cuRL을 사용하여 웹 사이트에 데이터를 POST합니다.API 시스템에 보안 기능이 있습니다. | PHP cuRL
내 MySQL 데이터베이스로 웹 사이트를 확인하기 위해 api 키 (웹 사이트의 md5 해쉬)를 사용하고 있습니다. 그러나 누군가가 내 API 클라이언트 (PHP cURL)를 사용할 때 내 사용자의 사용자 이름과 비밀번호도 저장할 수 있습니다.
어떻게 예방할 수 있습니까?
나는 누군가가 자신이 아닌 다른 웹 사이트에 사용자 이름과 암호를 입력됩니다 ... 당신이 그것을 캡처에서 웹 사이트의 소유자를 방지하기위한 방법이 없습니다 당신이 할 수있는 것들
귀하의 사이트에서 사용자 이름/비밀번호와 유사하지만 API에서만 사용하도록 사용자 계정에 대한 보안 설정 정보를 생성하게하십시오. 또한이 새로운 자격 증명 집합이 사용자 계정 삭제 또는 이메일 주소 변경과 같은 작업을 수행하지 못하도록합니다.
또한 원하는 경우 사용자가 API 자격 증명을 변경할 수있는 권한을 부여합니다 (제 3자가 API 자격을 얻고 사용자가 더 이상 액세스하지 못하도록하려는 경우).
그래서 웹 사이트 로그인과 다른 두 번째 사용자 이름과 암호를 만들면 저장됩니까? – Sander
OAuth을 사용하는 것이 좋습니다. 그것은 당신이하고 싶은 일을 위해 설계되었습니다.
api 사용자가 원하는 테이블에 액세스하지 못하도록 하시겠습니까? API 메소드는 특정 작업을 수행하도록 구성되어야합니다. –