我希望在REST API之上构建一个轻量级的Web应用程序,用户只需验证一次,之后所有针对Web API的请求将通过某种方式保持用户名和密码的活动状态。我已经制作了一个工作原型,如果对REST API的第一次请求成功,就将用户名和密码存储在会话变量中,然后从此以后,每个请求都是使用从会话变量获取的auth信息进行的。到目前为止还不错。但是,采用这种方法,任何可以访问服务器的人都可以读取密码。有没有PHP的方法可以采用适当安全性的方法跟随我的方法呢?
更新一些细节:
这里的预期目标是基于用不同数据查询检索到的API的数据制作数据可视化,但不需要用户在每次尝试时输入用户名和密码。因此,API是完全无状态的,但具有GUI的Web应用程序应该是有状态的。
在这种情况下,我无法控制Rest API,因此对它的每个请求始终需要发送具有基本认证的API用户名和密码,没有任何替代方案,例如API密钥,会话令牌等等。这就是为什么我必须在用户会话持续时间内保留用户名和密码,并且想知道在会话变量中存储它们的方法是否被认为是安全的。
更新一些细节:
这里的预期目标是基于用不同数据查询检索到的API的数据制作数据可视化,但不需要用户在每次尝试时输入用户名和密码。因此,API是完全无状态的,但具有GUI的Web应用程序应该是有状态的。
在这种情况下,我无法控制Rest API,因此对它的每个请求始终需要发送具有基本认证的API用户名和密码,没有任何替代方案,例如API密钥,会话令牌等等。这就是为什么我必须在用户会话持续时间内保留用户名和密码,并且想知道在会话变量中存储它们的方法是否被认为是安全的。