我正在使用 iOS 和 Android 版本构建应用程序。我想创建或实现两个应用程序都可以使用的现有 REST 身份验证过程。我知道我可以通过简单的 Get 服务来完成此操作,但这会以明文形式传递密码。是否有任何 API 可以处理移动应用程序的身份验证?
我不想使用 OAuth,因为我不希望用户不得不采取额外的步骤来允许访问他们的数据。我希望用户无缝地输入用户名和密码,并像我使用的大多数移动应用程序一样进行身份验证。
问问题
7758 次
4 回答
7
如果您确定不想要 OAuth 之类的东西,那么您只需要两件事:
1) 仅限 https - 这可以防止用户名:密码被拦截(很容易)
2) 一个 POST URL 发送用户名:密码到
发帖很重要!如果它只是 GET,那么用户名和密码将存储在您的服务器日志中,并且请求可能会被缓存。
你会得到类似的东西:
https://www.example.com/myaccount/login
使用 POST 参数
username=deanWombourne&password=hunter2
然后,我会将登录状态作为该会话的属性存储在服务器上,以供将来所有请求使用。
于 2012-04-11T18:04:06.727 回答
0
HTTPS 是您的首选,如果可能的话。
我建议您查看亚马逊 S3 身份验证。 http://docs.amazonwebservices.com/AmazonS3/latest/dev/RESTAuthentication.html
也看这里。
于 2012-04-11T18:05:43.783 回答
0
如果您使用安全连接 (HTTPS),发送用户名/密码将不是问题。其他需要考虑的事情是,移动设备上的会话超时和会话缓存,以及为此所需的安全步骤,间歇性网络连接问题等。
于 2012-04-11T18:03:16.607 回答
0
您能否向我们展示您的一些代码,以便我们更好地了解,现在可以使用 OAuth,因为用户更熟悉此方法,并且无需您使用 HTTPS 更安全,因为有一部分用户(我也是)谁不接受在非官方应用程序上写密码,所以他们可能会忽略你。
于 2012-04-11T18:05:33.503 回答