存储用户凭据的更好方法

Question

好的，我正在尝试为iPhone和Android开发移动网站应用程序。目前，我的网站使用cURL将用户登录到其他网站。我有一个PHP脚本，它根据用户的用户名创建一个cookie。然后，cURL将信息放入该cookie中。 Cookie存储在我网站的主机上。

基本上我创建的这个移动网站假设允许用户登录我为此开发的论坛（网站所有者不允许我在他们的网站上创建移动版本，因此我需要这样做）。然后，一旦他们登录，他们可以阅读帖子并回复他们。当它去阅读时，一个线程需要加载cookie，以及当他们试图发帖时。

如何将Cookie保存到用户手机而不是我的服务器？我问的原因是，我喜欢它，所以我的主机没有填满数十个带有用户凭据的文本文件（我不想看到，所以我不是网络钓鱼）。

我希望用户登录，Cookie会保存到手机中。他们想读一个帖子，手机拿起那个cookie。他们想发帖，电话拉起cookie。

我查看了PHP setcookie（）函数，不确定这是否是我需要的。

我们将不胜感激。

Answer 1

当您在服务器端设置cookie时，cookie会通过称为HTTP标头的内容发送到客户端（在本例中为您的手机）。有一个名为“Set-Cookie”的HTTP标头和一个cookie的值。当浏览器将来向服务器发出请求时，它希望将该值返回到名为“Cookie”的HTTP标头中

因此，如果您想设置一个cookie并使用该cookie，则需要从您的请求中获取cookie，将其存储在安全的地方，并在将来的请求中将其恢复。

http://en.wikipedia.org/wiki/HTTP_cookie

这是一个简单的身份验证方法，它采用网址，用户名和密码并返回cookie值。

static public String authenticate(String service_url, String username, String password) throws IOException
{
    if (username == null || password == null)
        throw new IOException();

    String charset = "UTF-8";       
    URL url = new URL(service_url);
    HttpURLConnection connection = (HttpURLConnection) url.openConnection();
    connection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded;charset="+charset);
    connection.setDoOutput(true);
    connection.setRequestMethod("POST");
    connection.setReadTimeout(5000); // 2 second timeout.

    String query = String.format("Email=%s&Password=%s",
            URLEncoder.encode(username, charset),
            URLEncoder.encode(password, charset));

    OutputStream output = null;
    try {
         output = connection.getOutputStream();
         output.write(query.getBytes(charset));
    } finally {
         if (output != null) try { output.close(); } catch (IOException logOrIgnore) {}
    }

    connection.getInputStream();

    List<String> cookies = connection.getHeaderFields().get("Set-Cookie");
    if (cookies == null)
        throw new IOException();

    for (String cookie : cookies)
    {
        if (cookie.startsWith("authcookie"))
            return cookie; // this is the only correct path out.
    }
    throw new IOException();
}

示例HTTPGET，请注意http标头以将cookie值添加回请求。

public static InputStream getDataFromHTTP(String url, String authenticationCookie, String     mimetype) throws ClientProtocolException, IOException
{       
    DefaultHttpClient client = getHttpClient();     

    if (client == null)
        throw new IOException("Cant getHttpClient()");

    if (url == null)
        throw new IOException("URL is null");

    HttpGet httpget = new HttpGet(url);
    httpget.addHeader("Accept", mimetype);
    httpget.addHeader("Cookie", authenticationCookie);      
    httpget.addHeader("Accept-Encoding", "gzip");
    HttpResponse response = client.execute(httpget);

    InputStream instream = response.getEntity().getContent();
    Header contentEncoding = response.getFirstHeader("Content-Encoding");

    if (contentEncoding != null && contentEncoding.getValue().equalsIgnoreCase("gzip")) {
        instream = new GZIPInputStream(instream);
    }

    return instream;
}