Rails,设计和android ..我希望Android应用程序保持登录状态

时间:2012-10-04 05:18:34

标签: android ruby-on-rails login devise

以下是我对rails server和android的看法。如果以下步骤有意义,请告诉我。

首先,当Android应用程序首次启动时,用户将输入他/她的电子邮件地址和密码。

然后,应用程序将请求向rails服务器验证用户身份,服务器将使用令牌回复(在令牌身份验证中)。

应用程序存储令牌并附加令牌以用于后续请求。 (例如:http://myServerUrl.com/books/list?auth_token:xxxx)服务器将检查令牌是否存在是否为用户表,然后以JSON格式将凭证数据发送回应用程序。

我的问题是,

  • 第一次,当有一个请求服务器使用HTML正文中的电子邮件地址和密码(如果是POST),它是否安全?如果用户使用wifi,则整个纯文本将向公众公开。有没有安全的方法来发送电子邮件和密码到服务器?是否需要SSL或非对称加密或HTTPS?
  • 从服务器接收到身份验证令牌后,应用程序将附加该令牌以用于后续请求。换句话说,身份验证令牌也将以纯文本形式公开。有没有安全的方式来提出请求?如果有人转储了一个完整的请求并将其发送到服务器,服务器如何知道它是否是有效请求?

由于我对ror和Android应用程序都很陌生,所以任何帮助都会让我痛苦不堪。

1 个答案:

答案 0 :(得分:0)

我想我想出来了......

首先,Android应用需要使用电子邮件和密码登录。 服务器将使用身份验证令牌回复。

App将使用令牌访问凭据数据,但请求应以HTTPS形式发送。

Jav_Rock写了评论,所有连接都在HTTPS中处理。 我打算测试与HTTP相比,HTTPS连接是否提供合理的速度。 如果响应时间很重要,HTTPS可能会降低应用程序的速度。

我测试HTTPS后会再次发帖。

相关问题
最新问题