使用 PHP 为移动设备进行令牌认证

Question

我正在编写一个 iPhone 应用程序作为我网站的移动版本。

我打算公开一些 REST API，以便应用可以更新用户的数据。

我不希望用户每次都登录，但我想保存他的令牌/cookie 并将其重用于所有未来的请求。

我可以设置一个随机令牌并将其与用户 ID 一起传递，但它不是很安全，因为在越狱设备上很容易访问它。我不能使用 IP 来限制它，因为 IP 可能会经常更改（因为它是移动设备）。

实现这种身份验证的最佳方式是什么，既足够安全又不会因为经常要求用户进行身份验证而惹恼用户？

Answer 1

将带有初始登录详细信息的 UDID 或 mac 地址发送到您的服务器。为该用户/UDID（或 mac）组合创建一个唯一令牌，如果用户名/密码成功，则将其发送回（加密）到设备。在后续访问中，设备会发送加密令牌和 UDID/mac（通过安全连接）以进行重新身份验证。

如果您想让偏执的人轻松跟踪 UDID，您可以改用 UDID/mac 对加密令牌进行加盐，但这不会那么安全，但应该仍然可以完成这项工作。