我目前正在使用自己的应用开发自己的服务。该服务具有应用程序用于通信的后端JSON API。
现在,由于iOS应用程序没有会话或cookie,我想知道如何为我的应用程序创建用户身份验证/登录。我应该简单地在本地加密密码/用户名,然后,对于每个操作(例如发布新条目),发送带有请求的用户/密码(这似乎不安全),使用基于令牌的系统(应用程序从验证时的服务,将其保存在本地 - 加密 - 然后随请求发送)或其他什么?我应该尝试为我的服务实施OAuth吗?
我使用CodeIgniter Rest API作为后端。
谢谢!
答案 0 :(得分:0)
我的偏好包括两者。我通常使用oauth2和持票人令牌设置(如果我没记错的话)。我要求用户名/电子邮件+密码,加密密码客户端并通过Basic Auth将其发送到服务器以换取我可以在所有连续呼叫上发送的访问令牌。这样我就可以通过使访问令牌无效来撤销对后端的访问。 Oauth2比Oauth 1.0a更容易实现,遵循规范,以后很容易为第三方应用打开你的api。
Oauth2访问令牌可以作为GET参数发送,但最近我开始认为将其作为标题发送可能更好,以便更好地区分元参数,如访问令牌和数据参数,如它或模型的实际数据