假设我有一个 Android 应用程序,它连接到 .Net API 来接收/设置数据。我的困惑在于如何首次注册/登录用户并在每次向 API 发出请求时进行身份验证。
- 如果我只使用基于用户名/密码的身份验证,它们将不安全
足够的?
- 我无法在设备中保存该用户名/密码
当然是出于安全原因?
- 我是否应该在注册时为每个用户颁发一个 GUID,将其保存在他们的设备中并在每次 API 请求期间检索?
还有哪些可用的模式以及哪些是最有效和最安全的,我只需要一个流程。
有人可以告诉我 Facebook、FourSquare 或 Twitter 等著名 Android 应用程序使用什么方法来验证从其移动应用程序发送到服务器的每个请求吗?
如果这不是一些公开信息,请提前抱歉。
我想他们使用基于“令牌”的安全系统,因此密码实际上从未存储在任何地方,只是第一次用于身份验证。因此,应用程序最初发布用户名/密码(通过 ssl),服务器返回应用程序存储的令牌。对于后续同步尝试,首先发送令牌,服务器检查其是否有效,然后允许发布其他数据。
令牌应该有一个过期时间,以便服务器可以重新请求身份验证尝试。
如果您从 Android 框架内连接到同步适配器,您将能够在后台同步和验证所有内容。
http://developer.android.com/training/sync-adapters/creating-sync-adapter.html http://developer.android.com/training/sync-adapters/creating-sync-adapter.html
如果您检查设备上“设置”下的帐户,您就会明白我的意思。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)