1

我有一个 Rails 应用程序,我使用 Devise 对应用程序的用户进行身份验证。

问题是我正在构建一个 Android 应用程序,我想了解在 android 上“简单的方法”对用户进行身份验证的流程如何。我阅读了有关基本和摘要身份验证的信息。

或者我使用 Grape https://github.com/intridea/grape的 api ,它具有用于身份验证的 Basic 和 Digest 中间件。

我只是想知道我应该在 android 应用程序上存储用户的电子邮件/密码吗?

并且对 api 的每个请求都应附上用户的电子邮件/密码?

另外,认证响应中的 auth 标头有什么好处?

4

1 回答 1

7

我强烈建议不要将密码存储在任何地方,并且很可能也不需要存储用户名。相反,请查看此博客示例中显示的 Devise 中的 token_authenticable 功能。我建议做的是当 Android 应用程序用户输入他/她的用户名和密码组合时,您使用用户输入的内容调用自定义令牌身份验证登录控制器并将令牌返回给应用程序。然后,您可以将令牌存储在您的应用程序中,而不必担心用户名/密码可能会被泄露。

这为您提供了重新生成令牌或任意使令牌无效的频率的灵活性。

于 2011-12-28T17:31:59.543 回答