0

这是我之前关于如何保护从移动应用程序到托管在 Heroku 上的 Play 应用程序的 API 调用的问题的后续内容。

最初建议我实现 OAuth,但它似乎比我需要的更复杂,我考虑在每次调用时通过 HTTPS 发送密码明文并将其存储在设备上。

  1. 是否可以只组成一个我存储在应用程序中的长随机字符串,并在 API 端也需要它?这似乎会阻止其他人使用 API,这很好。
  2. 如果是这样,仅通过 HTTPS 发送该令牌以及用户的用户名和密码是否安全?
4

1 回答 1

0

在写这篇文章时,我遇到了这个答案,它看起来像是一个可以接受的解决方案:

  • 每次通话都使用 HTTPS
  • 第一次调用后,发送回一个 authToken
  • 每隔一段时间在设备和服务器上使令牌过期
于 2013-03-10T13:41:16.947 回答