我正在尝试找出为我的移动应用程序(iOS 和 Android)和 API(PHP)处理用户身份验证的最佳方法。
根据我的研究,选项是:
基于HTTPS 的基本身份验证- 检查每个请求的用户名/密码。
会话- 随每个请求发送会话 ID;服务器维护状态。所以应用程序在后续请求中发送用户名/密码和服务器检查登录用户,就像我的网站一样。
API 令牌- 移动应用程序发送用户名/密码并接收回一个令牌,然后将其附加到后续请求。令牌存储在数据库中并在每个请求上检查。
我猜我对 API 令牌的解释是不正确的,因为它们看起来与会话相同,因为我将会话 ID 存储在数据库中。
- 能否更正我对 API 令牌的解释。它们是干什么用的?它们与会话 ID 有何不同?
- API 令牌的优势是什么?
- oAuth(如果我们要简化它的使用)只是一种用于创建“API 令牌”的协议吗?