0

我正在为我的 Web 应用程序构建一个移动应用程序。我决定使用科尔多瓦,所以基本上它将是单页网络应用程序。我还制作了一个 REST API 服务器,它使用密钥和秘密来验证每个请求。在 Web 应用程序中,我可以使用密钥和秘密向我的 api 服务器发出请求,但是如何在移动应用程序中进行呢?在移动应用程序中存储密钥和秘密是个坏主意(对于网络应用程序来说可能也是个坏主意)。我也在考虑更改 api 服务器中的身份验证过程。从移动应用程序调用这个rest api服务器并验证这些请求的最佳方式应该是什么。我应该为每个用户请求生成令牌并使用密钥和秘密进行验证吗?我认为我不需要 oauth,因为这项服务仅适用于我的 web 应用程序和移动应用程序,我们不需要允许其他第三方服务访问我们的 api。

4

1 回答 1

1

我应该为每个用户请求生成令牌并使用密钥和秘密进行验证吗?

是的。

如果您可以从某个地方使用现有的实现,那么使用 OAuth 可能是值得的。这是一个标准协议,因此比您自己发明的东西更有可能是安全的。

这也意味着,如果您将来想让第三方应用程序登录,您可以。你可能认为你永远不需要它,但你永远不知道。这也是一个好主意,因此如果您曾经从事过另一个需要 oauth 的项目,那么您已经练习过了。

于 2013-09-03T09:38:53.343 回答