我正在为我的服务构建一个公共Web API。它将同样被网页和本机移动应用程序(iOS,Android和Windows 8)使用。
我应该使用基于cookie的身份验证吗?我的意思是,这是这种情况的最佳做法吗?
更多信息:
在认证/授权/ openId-connect领域进行了一些研究后,我意识到大部分内容都是由浏览器处理的,我的意思是重定向,coockie插入和相关的“锅炉板”的东西...当我想关于我必须在我的原生应用程序中复制的所有锅炉板,我想知道该型号是否适用于移动应用程序。我的意思是,也许是另一种更适合移动本地的方式......
Ps:我知道这仍然是一个通用的,只是我在安全领域是一个乞丐,我不知道如何正确表达我的怀疑/担忧/“懒惰”仍然...
答案 0 :(得分:2)
API本身应该是无状态的,而不是管理任何会话。每个API请求都应使用身份验证详细信息(例如OAuth令牌)。
如果网页和移动应用程序需要维护某种会话,那么应该由它们作为服务的客户端来维护该状态。例如,网页可能会为用户设置会话cookie,但原生移动应用可能需要完全不同的方法。
另请参阅:If REST applications are supposed to be stateless, how do you manage sessions?