我想使用 Twitter 登录 iOS 应用程序。一旦用户通过 Twitter 进行身份验证,我想将这些凭据传递给服务器,以便将这些凭据与存储在数据库中的用户配置文件进行匹配。
我可以通过 https 与我的服务器通信,但这仍然不能告诉我我从应用程序传递的凭据是:
- 来自应用程序 - 因为其他人可以使用我的服务启动安全会话
- 拥有有效的凭据 - 凭据是实际登录的 Twitter 帐户,而不仅仅是一些虚构的数字(密钥等)
我是否需要实施反向身份验证以提供一种安全地执行此操作的方法?(如果不是我应该使用什么方法来知道所提供的信息是正确的)