SOAP Web服务/推荐过程的移动客户端身份验证

时间:2012-11-30 12:51:21

标签: security mobile soap

我正在开发一个客户端 - 服务器系统,其中客户端是一个iphone应用程序,通过SOAP消息与后端通信。 现在,客户端在每个请求的SOAP主体中发送用户名和密码,这当然不是好事。

对此的解决方案不需要(实际上:不能)太复杂,我只是不想过多地发送用户名和密码。

一个“好的”解决方案是让客户端使用username / pw进行一次身份验证,然后收到一个有效的令牌,比如1小时,并且必须随每个请求一起发送?

这种情况的“最佳做法”是什么? WS-Security?

1 个答案:

答案 0 :(得分:0)

使用有效期为一段时间的安全令牌是很常见的做法。当然不建议使用每个请求发送凭据。

您可以参考以下链接了解更多详情: https://softwareengineering.stackexchange.com/questions/83037/best-practices-for-expiration-of-tokens-in-a-security-token-service-sts

https://developers.google.com/accounts/docs/MobileApps