Привет. Пишу костомное API, используется https. передаю параметры и я так понимаю нужен какой нибудь токен(hash, secret, etc) для верификации запросов. Как лучше генировать этот токен? или не париться ввести просто какое нибудь hash от md5(), ведь перехватить https невозможно( верно мыслю?)
Перехватить можно разшифровать сложно
Авторизация по токену нужна
В целом думаю можно как угодно шифровать
Как и md5
ок. как генировать этот токен?
Это нз))
для каждого запроса нужен своей уникальный токен?
Я генерил всегда от времени
- соль
Делал один
Вот смотри
Можно ещё плюс пасс делать
Тогда будет использоваться как пароль
И можно распознать пользователя
хм.... так где пример?
куда смотреть ?
md5($id_user . $pass . time() . $token)
Вот так
Но time наверное тогда выкинуть лучше
а как на обратной стороне узнавал время?
Ну тут либо делать метод авторизации
Что бы он json со временем отдавал
И сохранить куда нибудь
Или не добавлять время
погоди. что значит метод авторизации? что ты под этим подразумеваешь?
В принципе соли должно хватить
rest/auth?логин пасс или логин токен
Который будет давать уникальный токен
а. ок. спасибо тебе.
В принципе платёжные системы так же делают
Только без времени)
они по полю amount )
Ну всё что можешь уникальное добавляй
Хотя я всё сказал
drupal_hash_base64
Ну да это помощнее будет
а у вас вся спина белая
md5($id_user . $pass . time() . $token)
нужен публичный сервис для синхронизации времени и допуск лага минимум секунд на 5 в таком случае
Не не обязательно синхронить
Но если синхронить тогда да))
синхронить надо, нет гарантии, что часы и у тебя и на сервере нормально выставлены
Я просто тут имел ввиду узать time только на сервере
ну важно запомнить разницу
себе время ставить не следует
Чисто ради уникального токена
По поводу разницы https похоже это делает
drupal_random_key() можно
если хранишь)