4
我正在實現一個Android應用程序,並且必須包含用戶登錄名。要做到這一點,我創建了我自己的驗證器,只需登錄一次。然後AccountManager可以請求訪問令牌,所以應用程序不直接處理密碼。 AccountManager存儲用戶帳戶和令牌。使用客戶經理在Android中實施JWT身份驗證
我正在使用JWT(Json Web Token)在我的REST API中對用戶進行身份驗證。
我想知道這個流程是否正確,或者在Android中有更好的方法來做到這一點。
這是我目前使用的流程:
用戶在第一次輸入用戶和密碼在登錄屏幕。
我向服務器發出請求以檢索存儲在帳戶管理器中的有效令牌(JWT)。
後續請求使用收到的訪問令牌,直到它過期(1小時)才從API中檢索內容。
令牌過期後,它可以在發佈時間後最多兩週刷新。從這一刻起,需要用戶憑證來檢索新令牌。
這個過程是否正確地使用令牌和刷新它的方式?過程安全嗎?還有其他選擇嗎?
考慮到這個流程並未使用「刷新令牌」來生成新的令牌,而是訪問令牌,那麼Android帳戶管理器的最佳用法是什麼?我應該使用哪些其他工具?是否推薦沿JWT實施Oauth2實施以實施「刷新令牌」?
乾杯!
您是否得到了解決方案? – ezdookie
@ezdookie不,我只是按照我所描述的來實施系統 –