CakePHP和Android驗證想法。建議請

Question

嗯，我有這種情況下，我應該驗證用戶與CakePHP 2.x站點使用河豚保存密碼，我使用GCM推送通知。

我正在這樣想。首先，我將爲設備生成一個註冊ID，然後使用Web視圖打開一個專爲android中的服務器設計的自定義登錄頁面。如果用戶成功進行身份驗證，他的設備ID，註冊ID和站點識別用戶名將存儲在表中。具有保存的設備ID和註冊ID的所有請求用於認證用戶並執行他的操作。將有機制來控制註冊ID在哪裏被停用或重新發布的問題。

這是否有任何安全問題或設計缺陷？

Answer 1

你在找什麼是基於令牌的無狀態身份驗證系統，我認爲。

爲此使用http://oauth.net/2/。這正是它所做的。

我不認爲你的主意是安全的：聽起來像設備ID和註冊ID將始終相同（每個設備）並存儲在設備上 - 這不是一個好主意。然而，它是有效的，不需要重新發明輪子。

並且爲此使用HTTPS，OAuth2需要它，因爲與OAuth1不同，它不再處理加密部分，而是將此任務傳遞給HTTPS。