我正在寻找创建Android app的过程;安全显然是最重要的事情。
用于验证用户身份和处理业务逻辑的最佳实践是什么(以下方案)。
例如,当前的设计将根据用户的登录来简化权限。用户登录并成功进行身份验证后,其用户名和密码将存储在会话变量中。当用户尝试请求需要一定权限才能查看的资源时,作为访问该资源的过程的一部分,如果用户名和密码使用正确的权限集进行了身份验证,则将其用户名和密码发送到中间Web服务。然后可以访问。
这是操作Android应用程序的合理方法还是有更好的解决方案?
谢谢。
答案 0 :(得分:1)
大概是指构建某种Web API,例如REST API,Android App会将其发送到该API,并且API执行数据库操作。
我不会为每个不受欢迎的请求发送用户名/密码组合。您发送一次用户/密码组合进行身份验证,身份验证返回某种令牌,然后在每个请求中发送此令牌,并在API端进行验证以确保它是有效的会话令牌。您可以自己动手或使用某种单一登录(SSO)解决方案,例如Google Sign on或OAUTH是一种常见的身份验证机制。也许https://oauth.net/会有所帮助。