API的安全客戶端令牌身份驗證

Question

我有一個移動iOS應用程序，我想對RESTful API進行身份驗證。 每個用戶都有多個設備鏈接到同一個帳戶。

到目前爲止，我想出了以下內容：

客戶端

• 讓用戶使用用戶名/密碼登錄
• 發送用戶名/密碼&唯一的設備ID服務器
• 從服務器獲取authToken並將其設置在每個API調用的HTTP驗證標頭中
• 等待註銷，除去的authToken

服務器端

• API使用SSL
• 用戶具有許多相關聯的設備
• 設備由唯一的設備ID和的authToken每個
• 表示用戶更改密碼的時間，重新生成所有authTokens
• 如果設備被刪除，刪除aut該設備的hToken

這是一種訪問API並手動添加/撤銷設備的安全方法嗎？

Answer 1

是的，這是一個相當標準的方法。谷歌有a document that describes this approach（該文檔的大部分都是爲了將​​令牌從服務器獲取到客戶端，因此可能對您不太有用）。還有一些detailed description of bearer token authentication。

您應該看看您正在編寫服務器的應用程序框架是否已經支持OAuth等認證機制，因此您不必編寫自己的認證機制。