我在這裏發現了許多問題/答案和其他網站上的許多文章,但我還有一些問題需要回答,然後才能開始,我無法找到答案。我想爲移動應用程序(以及某些前端)創建寧靜的api。PHP - 適用於手機認證的RESTful API
我選擇通過HTTPS的基本認證,因爲我覺得現在已經足夠了,它看起來很容易實現。所以我應該有用戶名和散列密碼保存在dabatase的權利?然後,當用戶在應用程序中寫入用戶名和密碼時,我散列了密碼,並且都通過Base64進行加密並添加到HTTP標頭中?我該如何解密並在服務器端檢查數據庫?它會如何改變鹽?
當我檢查用戶名和密碼與以前的通話後,我該如何保存這個會話?我應該創建一些session-id/token
(隨機字符串)並將其保存到用戶表中的列,並將其發送回移動應用程序,然後將其用於其他調用(帶有一些到期時間戳)?它可以通過HTTP(不安全)嗎?像web.com/api?token=ASsF234Silkj&data=...
或者我必須在驗證後始終使用HTTPS?
當我在所有使用此API的應用程序中使用某些API密鑰(私有)時,它將如何更改?我知道我可以隱藏密鑰,不要通過請求發送它(僅用於加密),但如果有人試圖讀取.apk
並獲得API密鑰,該怎麼辦?