【发布时间】:2012-01-21 16:22:48
【问题描述】:
我对在移动应用中进行用户身份验证的最佳方式感兴趣。目前设置非常简单。我将用户名和密码存储在应用程序上,并在每次需要运行受限查询时将其发送到 api。
我觉得这可能是错误的处理方式。
在用户登录时发送用户名和密码然后存储该用户的 ID 是否有更好的方法?这样做的问题是api接受用户ID而不是用户名和密码。用户 ID 将更容易“猜测”,恶意人员将能够通过随机选择的用户 ID 在其帐户下执行操作向 API 提交请求。我有一个 api 密钥。这足够安全吗?
问题是我想开始将 twitter 和 facebook oauth 集成到应用程序中。我没有读过太多关于它的内容,但我认为你得到了一个“令牌”。这将如何与您建议的设置一起使用?在我自己的用户数据库中创建令牌并使用令牌(无论是我的、facebook 的还是 twitter 的)作为授权是否有好处?或者将每个服务分开并单独处理它们是否有意义?
谢谢。
【问题讨论】:
标签: android iphone authentication mobile