你好,我和朋友们正计划进行一个大项目。我的两个朋友将构建 iOS 和 Android 应用程序,而我将构建服务器后端。我最近开始使用 RoR 进行开发并爱上了 Ruby。现在这是我的问题:
更多背景信息:
我只想要一个用于 android 和 iPhone 应用程序的私有 API。我不想要一个完整的 OAuth 身份验证过程。做一些研究,我想我会使用基本的 HTTP 身份验证。
1. 我的应用程序使用基于 cookie 的身份验证,这意味着每个后续请求都必须传递一个 cookie。那么我的朋友是否需要存储一个 cookie 并在对服务器的每个后续请求中将 cookie 连同它一起发送?
2. 如何将 API 设为私有?我知道在 OAuth 中有消费者秘密和消费者密钥。我知道是否有人可以简单地找出他们将能够访问 API 的 URL 架构。如何保护我的后端免受来自未知用户的请求?(应用程序本身中的硬编码字符串?检查设备类型的标头?)
3. 我应该现在只构建 API,然后再担心 Web 应用程序吗?或者回去构建一个网络应用程序会不会太可怕了(尽管我真的希望网络应用程序比移动应用程序更重要