31

我正在尝试找出为我的移动应用程序(iOS 和 Android)和 API(PHP)处理用户身份验证的最佳方法。

根据我的研究,选项是:

基于HTTPS 的基本身份验证- 检查每个请求的用户名/密码。

会话- 随每个请求发送会话 ID;服务器维护状态。所以应用程序在后续请求中发送用户名/密码和服务器检查登录用户,就像我的网站一样。

API 令牌- 移动应用程序发送用户名/密码并接收回一个令牌,然后将其附加到后续请求。令牌存储在数据库中并在每个请求上检查。

我猜我对 API 令牌的解释是不正确的,因为它们看起来与会话相同,因为我将会话 ID 存储在数据库中。

  1. 能否更正我对 API 令牌的解释。它们是干什么用的?它们与会话 ID 有何不同?
  2. API 令牌的优势是什么?
  3. oAuth(如果我们要简化它的使用)只是一种用于创建“API 令牌”的协议吗?
4

1 回答 1

30

我不是专家,但我会给你我捡到的几美分:

1) API Tokens 有点笼统。通常,API 令牌是请求访问您的服务的应用程序的唯一标识符。您的服务将生成一个 API 令牌供应用程序在请求您的服务时使用。然后,您可以将他们提供的令牌与您存储的令牌相匹配以进行身份​​验证。

可以使用会话 ID,但其用途与 API 令牌不同。会话 id 不是一种身份验证形式,而是授权的结果。通常,一旦用户被授权使用资源(例如您的服务),就会建立会话。因此,当用户被授予对资源的访问权限时,会创建一个会话 ID。API 令牌是类似于用户名/密码的身份验证形式。

2) API 令牌替代了通过 HTTP 发送一些用户名/密码组合,这是不安全的。然而,问题仍然存在,有人可以取而代之使用 API 令牌。

3)在某种程度上是的。这是一种保持 API 令牌“新鲜”的方法。当您想要使用服务时,您请求访问令牌,而不是传递相同的 API 令牌。OAuth 2.0 步骤如下:
   a) 使用某种凭证发送到服务的请求
   b) 成功的响应返回一个代码
   c) 使用该代码向服务发出另一个请求
   d) 成功的响应返回用于签署每个 API 请求的访问令牌从那时起直到完成。

目前,许多较大的服务提供商都使用 OAuth 2.0。这不是一个完美的解决方案,但它可能是目前使用的最安全、最广泛的 API 安全方法。

于 2013-07-22T10:41:31.253 回答