【问题标题】:First authentification in order to get token首次认证以获取令牌
【发布时间】:2015-06-09 16:47:08
【问题描述】:

我正在为在线商店编写移动客户端。我已经编写了 REST API 来访问服务器上的数据。现在我需要对用户进行身份验证。
我已经阅读了很多关于此的内容,并得出了简单的解决方案。
首先,当用户第一次运行应用程序时,他必须输入正确的密码并从在线商店帐户登录。在这种情况下,密码以某种方式发送到服务器并在该用户得到响应后被检查。
如果一切正常,用户将收到可用于将来访问私人数据的访问令牌。如果没有,请获取简单的禁止消息。

我有一些问题:

  1. 第一次发送密码和登录以获得访问令牌的最佳方式是什么。使用某种算法加密密码,然后通过简单的 HTTP 发送密码或建立 HTTPS 会话,然后简单地使用此通道通过网络传输数据。在这种情况下,密码不必加密,使用 HTTPS 提供的公钥/私钥?

  2. 是否可以通过 HTTPS 作为 POST 方法发送此请求,例如使用下一个 URL /api/v0/store/auth ?或者最好换一种方式。

  3. 在所有使用 HTTPS 的情况下,我都需要自签名证书?

如果有任何帮助,我将不胜感激。提前致谢。

【问题讨论】:

    标签: php android ssl https token


    【解决方案1】:

    1 - 密码不必在 HTTPS 上加密是不正确的。最好的方法是您的服务器对刚刚收到的纯密码进行加密,然后尝试对用户进行身份验证,生成一个令牌。此令牌应仅在此连接期间持续存在。

    2 - 是的,post 方法可以用于身份验证。

    3 - 您可以使用自签名证书,但如果您这样做,客户端可能会触发警报,因为它无法识别您的证书。正确的方法应该是从威瑞信等授权提供商处获取 SSL 证书。

    【讨论】:

      猜你喜欢
      • 2019-04-20
      • 2021-06-06
      • 2016-07-30
      • 2015-09-30
      • 1970-01-01
      • 2020-09-25
      • 2017-04-20
      • 1970-01-01
      • 2022-11-04
      相关资源
      最近更新 更多