我正在创建一个后端,该后端具有将从移动应用中使用的REST API。由于该应用仅限移动设备,因此我们不会使用电子邮件和密码创建帐户/登录信息,而是使用电话号码,然后他们会收到带有短信的PIN码,以确认他们拥有该号码。
在我确认用户是否使用了密码后,我该如何对未来的API请求进行身份验证呢?
我的第一个想法是创建一个令牌并将其返回给应用程序。我的第二个想法是使用OAuth,但后来我对使用电话号码/短信登录方法(2/3支路,拨款等等)使用哪种方法感到困惑。我不完全理解在将OAuth与我们自己的应用程序一起使用时(与OAuth与其他提供商相比),这可能会如何起作用。令牌似乎更容易。
如果我使用令牌,在用户注销之前使用相同的令牌是不是很糟糕? (通过https)。我认为值得额外的工作让它们比平均值更长一点。用户会话。
不幸的是,它似乎不是一个适用于电话号码的交钥匙解决方案。我正在使用Meteor,但我希望自己使用Node模块(通过在Meteor服务器上公开连接)。
非常感谢任何帮助!
答案 0 :(得分:1)
您是否考虑使用Twitter的数字?它配备了Fabric包,在我们上一次开发应用程序时非常棒。它允许您通过Twitter服务通过电话号码注册和验证用户。该软件包安装非常简单,除了服务器端令牌验证之外,您还可以避免很多麻烦。
对于登录的服务器端验证:
Digits: how can I verify DGTSession tokens on my own server?