我有一個Android應用程序,它使用雲端點備份谷歌appengine上的數據。使用Android客戶端的Appengine端點身份驗證,無需使用Google帳戶
我不使用谷歌帳戶的用戶的設備唯一識別用戶。我使用不同的用戶名(用戶在註冊時首先選擇)來識別用戶。
我試圖使用OAuth驗證來驗證誰使端點調用API的用戶,但似乎主叫端API調用時,我必須使用谷歌帳戶在Android設備上,用於OAuth認證工作。
所以我決定作爲參數添加用戶名和密碼所需的所有認證端點API調用。當用戶註冊或登錄時,我將用戶名和密碼存儲爲SharedPreference。然後,我使用此用戶名和密碼進行身份驗證所需的API調用。
是否有這種做法的任何安全問題?如果是這樣,有沒有更好的方法?