我正在开发适用于Android和iOS的移动应用。我们希望添加用户仅使用他们的电话号码登录的能力,与WhatsApp使用的电话号码相同(用户在某种屏幕上插入他的号码 - >向我们的服务器发出请求 - >服务器发送验证码 - >用户输入代码的新屏幕 - >验证收到的代码。
登录后我计划发送一个JWT令牌或类似用于未来的请求,但为了保持安全性,我希望这个令牌在说了一周之后就过期了。我的问题是,如果我的令牌过期后如何在用户没有注意到任何更改的情况下重新验证用户身份?
我正在考虑使用设备ID,使用的电话号码和验证码进行重新验证。这是个好主意吗?或者在这种情况下最佳做法是什么?
答案 0 :(得分:0)
在我看来,如果你想重新认证,你需要通知用户。 如果您不想注意 - 您不需要重新验证。保存电话号码并在需要时使用:
[[NSUserDefaults standardUserDefaults] setObject:phoneString forKey:@"kProfilePhone"];