我正在嘗試爲我的移動應用程序(iOS & Android)和API(PHP)處理用戶身份驗證的最佳方式。什麼是API令牌
從我所研究的選項是:
基本身份驗證通過HTTPS - 用戶爲每個請求的檢查用戶名/密碼。
會話 - 發送每個請求的會話ID;服務器保持狀態。因此,應用程序發送用戶名/密碼和服務器檢查後續請求中的登錄用戶,就像我的網站一樣。
API令牌 - 移動應用程序發送用戶名/密碼並接收回令牌,然後將其附加到後續請求。令牌存儲在數據庫中並在每個請求中進行檢查。
我猜我對API令牌的解釋不正確,因爲它們看起來與會話相同,因爲我將會話ID存儲在數據庫中。
- 我可以解釋API令牌的解釋嗎?他們是爲了什麼?它們與會話ID有什麼不同?
- API令牌的優點是什麼?
- oAuth(如果我們要簡化它的使用)只是創建「API令牌」的協議?
能否詳細說明「會話ID不是認證的形式,而是授權的結果」? – paul
更新了我的答案,總之 - 會話ID不是一種認證形式,API令牌是。 –
你是說API密鑰只是識別來自我的應用的請求,與用戶通過應用登錄無關?因爲從我讀過的API中應該是無狀態的,而不是使用會話。 – paul