2
這是我正在考慮rails server和android。如果以下步驟有意義,請讓我知道。Rails,devise和android ..我想Android應用程序保持登錄狀態
首先,當Android應用程序第一次啓動時,用戶將輸入他/她的電子郵件地址和密碼。
然後,應用程序將向rails服務器請求認證用戶,並且服務器將使用令牌迴應(在令牌認證中)。
應用程序存儲令牌併爲隨後的請求附加令牌。 (例如:http://myServerUrl.com/books/list?auth_token:xxxx)服務器將檢查令牌是否存在用戶表,然後將憑證數據以JSON格式發送迴應用。
我的問題是,
- 這是第一次,當有與HTML身體的電子郵件地址和密碼,服務器的請求(在POST的情況下),是它安全嗎?如果用戶使用wifi,整個純文本將暴露給公衆。有沒有可靠的方法將電子郵件和密碼發送到服務器?需要SSL還是不對稱的加密或HTTPS?
- 從服務器收到認證令牌後,應用程序將爲後續請求附加該令牌。換句話說,身份驗證令牌也將作爲純文本公開。有沒有安全的方法來提出請求?如果有人轉儲完整的請求並將其發送到服務器,那麼服務器如何知道它是否是有效的請求?
因爲我對ror和android應用程序都很陌生,任何幫助都會大大地釋放我的痛苦。
一件事解決了你所有的問題。使用https進行所有連接:)。 – HungryCoder