Open r1235613 opened 5 years ago
API 1
POST:https://example.com/v1/auth/login
此端口用於獲取登入憑證,為長期的憑證,可以由前端儲存登入狀態使用。
是說這邊想要做個驗證碼,讓前端用get來獲取base 64編碼的圖片,之後將圖片的名稱與使用者的回覆議起送過來應該會比較安全?
Request Body:
參數名 | 說明 | 範例 |
---|---|---|
username | 帳號 | Heatai |
password | 密碼 | Pa$$vv0rd |
Response: code: 200 一個jwt簽署的令牌
{
"sub": "Mongo的id",
"iss": "example.com",
"aud": "前端的網址",
"iat": 1565144307,
"remember": true,
"type": "login_credential"
}
code: 403
{
"msg": "The username or password is incorrect"
}
好,那這部分我認領了
好,那這部分我認領了
嗯,那就麻烦你了
@zjdavid2 以下流程安全嗎? 使用者註冊->把帳號密碼的雜湊簽章寄到他填寫的信箱 使用者點選連結->進資料庫
另外,電子郵件怎麼,SMTP哪來?
这个链接是永久有效的吗?如果是的话,这个链接如果泄露了就可能会有风险。。
电子邮件服务器我完全不会做。。之前尝试弄过但是一直发不出邮件,后来懒得弄了就改用 G Suite了
預計48小時有效,僅用於啟用帳戶,且不會登入
電子郵件我常用的是mailgun
問題在於bcrypt 雜湊後的密碼被寄出
是否安全
我觉得是没问题的。用 Hash 也推不出原密码。
我刚才在思考如果一位别有用心的人注册一大堆账号,然后用密码和Hash 尝试推出盐能不能推出来。
我目前的结论是推不出来。
@zjdavid2 不過目前沒有驗證碼,被大量註冊的可能性是100% 另外,鹽被解析出來也沒關係,反正每組hash的鹽都是隨機產生
* 登入系统,我觉得像你写的这样做就没问题了。 * 验证码方面。我觉得现在传统的验证码效果不是很好。前期可以先不部署验证码,后期再添加。就目前来看,我感觉使用Google 的Recaptcha 是最好,最简便的(虽然大陆访问会有问题 * 货币制度可以基本沿用。上传档案加 GP 之类的。但是由于我们本身并没有存储服务器,GP 有什么用还得讨论一下(之前似乎是用来下载Archive的) * 身份组也沿用吧。 * 一个问题就是补档需不需要管理员权限。如果需要的话就不能让别人帮忙补档了,如果不需要的话我们可能还得审核(以防出现什么奇怪的东西)。
那TOTP有需要嗎?
TOTP 很好用,可以作为一个可选项。让用户选择是否启用
你認為前端會想要寫FIDO嗎?
FIDO 是指哪个,生物识别?
不僅是生物識別,實體金鑰或是手機都可以當作是FIDO裝置
主要資料大致如此,需討論問題如下