Merhaba hocam bende bu konu üzerine baya araştırma yaptım ve genel olarak token kullanılıyor süreleri kısa tutuluyor ve ayrıca sunucu tarafında host ip leri tutularak bir koruma sağlanıyor. %100 kurur mu ? Bence hayır, burada kullanıcıya iş düşüyor birazda api tasarlanırken de her kullanıcının yapacaklarını filitre eden bir yapı yanı rol sistemi yapmakta fayda var. ayrıca token içinde ki veriler okunduğu için şifre gibi verileri oraya koymanız tamamen hata olacaktır. Token'a kullanıcının username'i vererek kullanmak daha mantıklı her seferinde de şifre göndermek zaten başlı başına hata olacaktır. Kullanıcı sadece register olurken şifresini api ye göndermeli düşüncesindeyim.
Ben node.js ile yazdığım api'm de jwt kullanıyorum kullanıcı her register olunca ip sini host adresini ve token'ı kayıt altına alıyorum. Daha sonradan gelen her istekte gelen token ile user eşleşiyor mu ip tutuyor mu gibi kontrollere gidiyorum. Tabi bunda da açık olduğu aşikar çok üst düzey güvenlik gerekli ise soket yapısı kullanılabilir bankaların kullanığı genellikle o ama nasıl yapılır hiç araştırmadım. Ayrıca apinize birden fazla istek gibi saldırılar olabilme ihtimaline karşı sağlam bir sunucu hizmeti almak faydalı.
Bu da benim şuan üzerinde çalıştığım node.js api https://kurt-yapi-api.herokuapp.com/api/login
rest api güvenliği [yardım, soru]
10
●453