大家好,我和朋友们正在筹划一个大项目。我的两个朋友将要构建iOS和Android应用程序,我将把服务器作为后端。我最近开始使用RoR开发并且爱上了Ruby。现在我的问题是:
更多背景:
我只想要Android和iPhone应用程序的私有API。我不想要一个完整的OAuth身份验证过程。做一些研究我认为我将使用基本的HTTP身份验证。
1。我的应用程序使用基于cookie的身份验证,这意味着必须在每个后续请求中传递cookie。那么我的朋友们是否需要存储cookie并在每次后续请求时向服务器发送cookie?
2。如何将API设为私有?我知道在OAuth中有消费者密钥和消费者密钥。我知道是否有人可以简单地找出他们能够访问API的URL模式。如何保护我的后端免受未知用户的请求? (应用程序本身的硬编码字符串?,检查设备类型的标题?)
第3。我现在应该只构建API并在以后担心Web应用程序吗?或者回过头来构建一个网络应用程序是否过于恐怖(虽然我确实希望网络应用程序比移动应用程序更重要
答案 0 :(得分:3)
这是一篇很棒的文章,准确地解释了您正在寻找的内容:在不设置完整OAUTH提供程序的情况下保护API:
http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
效果很好(即使解决方案最终离oauth不远;)