验证Restful API和移动应用程序的最佳方式

时间:2016-11-07 09:41:58

标签: java php rest restful-authentication restful-architecture

我多次谷歌搜索如何验证Restful API和移动应用程序。 我找到了很多答案,但我感觉不是更好,或者也许是因为我是API新手。

我愿意:

  • 移动应用程序请求或将数据发布到Restful Server
  • Restful Server通过用户名和密码登录验证移动应用程序
  • 我希望在Restful Server上安全并避免黑客窃取密码并请求数据。

通过谷歌搜索后,他们告诉:

  • 使用Https with SSL
  • 验证用户名或密码,然后生成新令牌和签名
  • 使用令牌和签名来验证移动应用程序。
  • 其他方式使用Oauth 2.0。阅读完Oauth 2.0文档后,

我仍然认为它的结构上面仍然有类似的标记和签名。

我认为如果是这样,移动应用可以存储或使用令牌和签名, 或者黑客可以通过代理请求调试或查看进程登录。 我觉得还不安全 因为我们仍然在请求时使用令牌和签名。

我刚开始学习API的新知识。如果我误解了, 对不起。我使用PHP编码。

1 个答案:

答案 0 :(得分:1)

我会推荐jBoss的Keycloak(http://www.keycloak.org/)。从第一页开始:

  

尽可能少地为应用程序和安全服务添加身份验证   大惊小怪。无需处理存储用户或验证用户。它' S   所有这些都是开箱即用的。

     

您甚至可以获得用户联盟,身份等高级功能   经纪和社交登录。

     

有关详细信息,请访问about和documentation,不要忘记   尝试Keycloak。这很容易设计!

相关问题
最新问题