为 Android 本机应用程序和 PHP 网站之间的 RESTful 接口寻找最佳实践/设计模式的确认和相关文档。
这有意义吗?
- 通过 SSL 的 HTTPS 请求(以便加密通信)。
- OAuth2 用于基于令牌的身份验证(以便用户最初可以使用用户名和密码向站点授权,但随后依赖授权令牌)。
有什么遗漏吗?有更好的方法吗?是否有用于持久连接的通用方法?
问问题
159 次
1 回答
0
我已经看到使用了这种方法,并且它的实现非常安全。我没有将其称为 authToken,而是将其称为 sessionToken,因为我的设置为在一段时间后过期,并让服务器再次从客户端请求用户名/密码。这有助于删除无效会话,并确保如果有人成功恶意获取用户的 sessionToken,那么下次应用程序转移到 HTTPS 以再次提供凭据时(假设您只使用 SSL 上的 HTTPS 进行登录),他们就会被阻止。如果所有流量都通过 SSL 发送,那么用例将是让会话令牌超时以使服务器受益,以便它们可以清除死会话。
*需要注意的是,与常规请求相比,通过 SSL 发送所有数据在服务器上的成本相当高,因此如果您可以在不影响安全性的情况下避免它,它确实有助于提高可扩展性。
于 2012-11-22T18:26:39.570 回答