我正在构建我的REST API以与我的IOS应用程序一起使用。我有一点问题......
如何实施"资源所有者密码凭据授予"?我无法将客户端凭据存储在IOS应用程序代码中(不安全),因此我不知道如何保护API。
基本上,我将使用SSL上的HTTP基本身份验证,它将返回一个令牌。但是,这意味着任何人都可以从任何地方向我的API端点发出简单的发布请求,并获取API访问令牌。基本上我有一个开放的API。
你推荐什么?
答案 0 :(得分:0)
你实际上可以使用钥匙串来存储你需要的数据..它是完全安全的......但是肯定不会在其中存储密码,它将成为你的交易破坏者:)
您可以根据用户的密码向oAuth请求access_token,如您所建议的那样 并将访问令牌存储到钥匙串中..它证明了它对我来说是安全的。