Наличие безопасности в системе API |PHP cuRL

Question

Я сделал API-скрипт для своего сайта, чтобы люди могли войти с другого сайта. Он использует PHP cuRL для размещения данных на моем сайте.

Я использую ключ API (md5-хэш веб-сайта), чтобы проверить веб-сайт с моей базой данных MySQL. Но когда кто-то использует мой API-клиент (PHP cURL), он также может сохранить имя пользователя и пароли моего пользователя.

Как я могу предотвратить это?

Answer 1

Возможно, вы захотите использовать OAuth . Он предназначен именно для того, что вы хотите сделать.

Answer 2

То, что вы хотите сделать, - это чтобы ваш сайт генерировал безопасный набор учетных данных для учетной записи пользователя, аналогично имени пользователя / паролю, но только для использования API. Кроме того, не позволяйте этому новому набору учетных данных выполнять такие действия, как удаление учетной записи пользователя или изменение адреса электронной почты.

Кроме того, предоставьте пользователям возможность изменять свои учетные данные API, если они этого хотят (в случае, если третье лицо получает их, а пользователь больше не хочет, чтобы у них был доступ).

Answer 3

Если кто-то вводит свое имя пользователя и пароль на сайт, отличный от вашего, у вас нет способа предотвратить захват его владельцем ...