在Android原生应用程序和PHP网站之间寻找RESTful界面的最佳实践/设计模式的确认和相关文档。
这有意义吗?
有什么遗漏?有更好的方法吗?是否存在持久连接的一般方法?
答案 0 :(得分:0)
我已经看到过这种方法,它的实现非常安全。而不是将其称为authToken,我将其称为sessionToken,因为我的设置在一段时间后过期并让服务器再次从客户端请求用户名/密码。这有助于删除死会话,并确保如果有人成功恶意获取用户的sessionToken,那么下次应用程序移动到HTTPS再次提供凭据时会阻止它们(假设您只使用HTTPS over SSL进行登录)。如果所有流量都通过SSL发送,那么用例就是让会话令牌超时,以便服务器受益,这样他们就可以清除死会话。
*需要注意的是,与常规请求相比,通过SSL发送所有数据在服务器上相当昂贵,因此如果您可以在不影响安全性的情况下避免使用它,那么它可以真正帮助实现可扩展性。