3

我目前正在设计一项服务,该服务将是一半 Web 应用程序,一半是 android 应用程序。每个用户都需要能够使用 openID 帐户从 Android 应用程序或 Web 应用程序登录。我希望首先以 Google 为目标,以便与 Android 轻松集成,但稍后我还需要一些 OAuth 东西,以便与 Google 联系人集成。

我遇到的问题是如何对用户进行身份验证。我计划的结构是服务器(可能使用 web.py,虽然现在很灵活)以 JSON 格式为客户端提供数据,无论客户端是 javascript 浏览器客户端还是 android 客户端。但是,每次调用都需要确保允许客户端访问该数据。

  • 跨平台标准化的最简单方法是什么?
  • 我应该在登录后使用会话系统进行身份验证吗?可以在 Android 应用程序中使用吗?否则,我是否应该为每个请求简单地向谷歌进行身份验证?
  • 从应用程序进行身份验证时,应该在哪里进行身份验证,通过服务器还是直接从应用程序?在这种情况下,身份验证令牌应该存储在哪里?(我假设对于一个直接的 webapp,令牌应该只存储在用户数据库的表中?)

很抱歉出现了这么多问题,但我还没有真正在网上找到任何可以很好地阐明这些问题的资源。

4

2 回答 2

3

只要您使用 HTTP,平台就无关紧要。您可以使用相同形式的身份验证和/或会话。唯一的区别是,在 Andorid 上,您可以使用平台的 AccountManager 获取身份验证令牌,而无需在 Google 的登录页面中输入用户名和密码。

于 2012-06-05T03:00:44.003 回答
2

授权 (OAuth) 和身份验证 (OpenId) 之间存在细微差别。确保你知道你在做什么。

于 2012-06-05T14:29:28.387 回答