我已經爲具有一些產品的數據庫以及一些可以添加和搜索這些產品的用戶製作了json api。所以用戶有一個登錄/通行證,憑藉這些憑據我可以進行POST API調用。具有會員設計的移動應用程序
我現在想要做的iPhone/Android應用程序,我想知道如何處理這些請求後:第一次我會問用戶憑據,然後我就可以做一個POST請求。但我在哪裏存儲這些憑據?在手機上?如果它在下一次應用程序啓動時持續存在,登錄名仍然會在那裏?
歡迎任何有用的鏈接。
我不會存儲純文本或加密的登錄憑證在所有,但落實在哪裏,一旦用戶登錄,服務器驗證,併產生一個相對長的隨機字符串作爲身份驗證令牌的OAuth的風格的登錄過程(與往常一樣用戶密碼)。
優點是這個隨機字符串是亂碼。如果這個令牌泄露給第三方,他們基本上只有一個關鍵的服務,而不是一個通用的密鑰,可以授予其他服務的訪問權限(因爲人們通常懶得記住不同地方的不同密碼,被利用)。
所以基本上你會做你的用戶一個忙,增加其安全性。
在Android的情況下,該令牌可以存儲在您的應用程序的私有存儲中,由於其他應用程序沒有訪問權限,因此可以認爲該應用程序是安全的(不考慮根源或受到威脅的設備,但這不應該是您的問題)。
對於服務器身份驗證時,只需添加該標記,例如你的應用程序的HTTP請求額外的標頭值。