我正在为我的网络应用程序构建移动应用程序。我决定使用cordova,所以基本上它将是单页网络应用程序。我还创建了一个REST API服务器,它使用密钥和密钥来验证每个请求。在网络应用程序中,我可以使用密钥和密码向我的api服务器发出请求,但我如何在移动应用程序中执行此操作?将密钥和秘密存储在移动应用程序中可能是个坏主意(对于Web应用程序也可能是个坏主意)。我正在考虑改变api服务器中的身份验证过程。什么应该是从移动应用程序调用此rest api服务器并验证这些请求的最佳方法。我应该为每个用户请求生成令牌并使用密钥和密码进行验证吗?我想我不需要oauth,因为这项服务仅适用于我的webapp和移动应用程序,我们无需允许其他第三方服务访问我们的api。
答案 0 :(得分:1)
我应该为每个用户请求生成令牌并使用密钥和密码进行验证吗?
是
如果可以从某个地方使用现有实现,那么使用OAuth可能是值得的。它是一种标准协议,因此比你自己发明的东西更安全。
这也意味着如果您希望将来让第三方应用登录,您可以。你可能认为你不会需要它,但你永远不会知道。这也是一个好主意,所以如果你曾经在另一个需要oauth的项目上工作,你就有了练习。