我目前正在设计一项服务,该服务将是一半 Web 应用程序,一半是 android 应用程序。每个用户都需要能够使用 openID 帐户从 Android 应用程序或 Web 应用程序登录。我希望首先以 Google 为目标,以便与 Android 轻松集成,但稍后我还需要一些 OAuth 东西,以便与 Google 联系人集成。
我遇到的问题是如何对用户进行身份验证。我计划的结构是服务器(可能使用 web.py,虽然现在很灵活)以 JSON 格式为客户端提供数据,无论客户端是 javascript 浏览器客户端还是 android 客户端。但是,每次调用都需要确保允许客户端访问该数据。
- 跨平台标准化的最简单方法是什么?
- 我应该在登录后使用会话系统进行身份验证吗?可以在 Android 应用程序中使用吗?否则,我是否应该为每个请求简单地向谷歌进行身份验证?
- 从应用程序进行身份验证时,应该在哪里进行身份验证,通过服务器还是直接从应用程序?在这种情况下,身份验证令牌应该存储在哪里?(我假设对于一个直接的 webapp,令牌应该只存储在用户数据库的表中?)
很抱歉出现了这么多问题,但我还没有真正在网上找到任何可以很好地阐明这些问题的资源。