Question

我正在创建一个简单的Android应用程序，它需要一些细节来存储和从php编码的Web服务中检索。我计划创建像www.mycoolservice.com/domagic.php这样的PHP脚本Android App会通过HTTP POST向脚本请求一些细节，脚本将使用json编码发送数据。

我的问题是关于身份验证和安全性

使用服务器对用户进行身份验证的最佳方法是，我应该每隔HTTP POST（加密）发送一次用户名和密码吗？

此外，如果有大量用户同时使用相同的脚本，是否会出现一些并发和效率问题？

我只是网络服务的初学者，请指导我。

Answer 1

通常，您有一个身份验证API，它将时间限制令牌作为返回值。然后在其他对后端的调用的标题中设置此标记。

使用JSON调用www.mycoolservice.com/authenticate.php进行POST调用

{
    "u": <user>,
    "p": <password
}

以

回应

{
    "t": <token>
}

使用标题“Token：”调用您的www.mycoolservice.com/domagic.php

Answer 2

添加mach，谁比我快：

我最近阅读了关于REST PHP应用程序的这个多部分教程：

Part 1和Part 2（最后一个还不存在）

我想一个好方法是为每个用户生成API / Authentication-Key。通过第一次身份验证，您将其发回，每次通信都将包含密钥。
您应该使用HTTP POST进行任何通信。