iPhone Webservice身份驗證和訪問令牌

Question

我有一個iPhone/Android原生應用程序。它使用PHP Web服務（RESTful）。如何爲我的Web服務添加安全身份驗證系統？有人建議使用訪問令牌。我如何生成訪問令牌，以及如何管理它們？ 我的理解如下：

1）在應用程序中，請求一個Web服務來驗證用戶名和密碼。

2）在Web服務（在服務器上），創建一個唯一且安全的隨機密鑰，將其作爲訪問令牌存儲在MySQL數據庫中，並將其返回給Web服務請求。

3）在應用程序中，存儲訪問令牌並使用安全的Web服務請求發送它。

4）在完成請求之前，安全的web服務檢查請求是否包含有效的訪問令牌。

上述步驟是否正確？如果是，那麼我如何過期訪問令牌？我應該使用cron作業（計劃任務）嗎？請建議更好的方法。任何幫助將不勝感激。

Answer 1

您的上述步驟是有效的。在這裏，你可以做什麼過期訪問令牌：

1. 當用戶按在應用程序中的註銷按鈕，註銷按鈕將調用Web服務刪除訪問令牌
2. 您可以設置會話假設X小時超時。在服務器上運行X小時後調用調度程序以刪除開放式訪問令牌。
3. 當相同的用戶再次登錄而不註銷時更新訪問令牌密鑰。