验证Restful API和移动应用程序的最佳方式

Question

我多次谷歌搜索如何验证Restful API和移动应用程序。 我找到了很多答案，但我感觉不是更好，或者也许是因为我是API新手。

我愿意：

• 移动应用程序请求或将数据发布到Restful Server
• Restful Server通过用户名和密码登录验证移动应用程序
• 我希望在Restful Server上安全并避免黑客窃取密码并请求数据。

通过谷歌搜索后，他们告诉：

• 使用Https with SSL
• 验证用户名或密码，然后生成新令牌和签名
• 使用令牌和签名来验证移动应用程序。
• 其他方式使用Oauth 2.0。阅读完Oauth 2.0文档后，

我仍然认为它的结构上面仍然有类似的标记和签名。

我认为如果是这样，移动应用可以存储或使用令牌和签名， 或者黑客可以通过代理请求调试或查看进程登录。 我觉得还不安全 因为我们仍然在请求时使用令牌和签名。

我刚开始学习API的新知识。如果我误解了， 对不起。我使用PHP编码。

Answer 1

我会推荐jBoss的Keycloak（http://www.keycloak.org/）。从第一页开始：

  

尽可能少地为应用程序和安全服务添加身份验证   大惊小怪。无需处理存储用户或验证用户。它＆＃39; S   所有这些都是开箱即用的。

     

您甚至可以获得用户联盟，身份等高级功能   经纪和社交登录。

     

有关详细信息，请访问about和documentation，不要忘记   尝试Keycloak。这很容易设计！