【发布时间】:2020-02-29 21:56:41
【问题描述】:
我正在构建一个使用用户和 Odoo 后端的移动应用程序。 用户应该能够通过此移动应用程序创建用户帐户。 我可以连接 API 并创建用户,但我担心安全问题。
如果用户已经有一个帐户,他应该使用他的凭据(登录名和密码)连接到后端。如果没有,他应该可以创建一个帐户。
目前允许用户创建新用户,我可以通过 API 使用“全局”用户来创建新用户,我使用该用户连接到后端并创建真实用户帐户。连接到后端后,他会得到一个 session_id。然后他可以创建一个新用户。之后,新用户可以使用自己的凭据登录并使用其他服务。
在这种情况下使用的最佳做法是什么?
我是否应该创建一个令牌或其他东西来确保通过设备访问应用程序或避免可能的黑客攻击,例如通过发现数据库名称、服务器和密码,通过伪造应用程序使用来创建一堆假用户?我应该采取什么措施来避免这个安全问题?
我真的受到威胁了吗?我真的应该担心还是已经可以了?
这很可能是软件架构问题。任何帮助表示赞赏。 谢谢。
【问题讨论】:
标签: security oauth-2.0 architecture odoo software-design