我是移動web編程新手 - 最近花了很多時間設計後端Windows服務和一些IOS本地編程。移動web應用程序的身份驗證
我們正在設計一個新的應用程序供我們的最終客戶使用。我們需要重量輕,響應速度快,並且可以在所有移動設備上工作 - IOS,Android和Win 8.經過大量研究,我們已經縮小到使用基於HTML 5的JS框架 - 即Chocolate Chip UI或Phone JS。服務器端代碼是PHP。
我對移動Web應用程序和站點的身份驗證的最佳實踐有疑問 我們可以提供帶有用戶詳細信息的登錄表單,併發布到服務器/身份驗證並寫入身份驗證Cookie,然後重定向到所有數據GET和POST的哪個點的HTML 5頁面正在使用REST調用。 或者不發佈到服務器,但使用服務進行身份驗證並存儲經過身份驗證的令牌或cookie,並在請求/發佈數據時進行檢查。
但是,上述方法仍然相關 - 因爲我以前從來沒有處理過UI驗證 - 在設計移動Web應用程序時專門用於驗證的最佳方法是什麼?
我的JAVA EE項目,我使用JDBC Realm來存儲用戶,密碼和角色以及JAVA EE內置的Container Managed Security,以保護我的網頁基於角色。如果用戶未通過身份驗證,則表單將顯示他或她必須輸入安全信息的位置。網頁通過具有CRUD功能的服務獲取數據訪問權限。 對於Android,Java FX,WPF等我使用Restful接口封裝Java特定服務以支持與OAuth2(http://oauth.net/2/)結合使用的不同編程語言。 OAuth2的一些好處是不需要在客戶端存儲用戶名和密碼,所獲得的令牌可以刷新,並且可以使用作用域來分離部分服務(只讀,完整,只有日曆訪問,.. )由你自己定義。如果REST服務將被訪問,令牌必須存儲在數據庫中並映射到它所屬的用戶主體。您的用戶也可以使用特定的REST界面範圍註冊自己的第三方應用程序。 Herr是一個示例實現:https://github.com/OpenConextApps/apis/blob/master/README.md並在此處提供有關JAVA EE安全性的一些信息:http://docs.oracle.com/javaee/7/tutorial/doc/security-webtier.htm#BNCAS