【发布时间】:2015-06-09 16:47:08
【问题描述】:
我正在为在线商店编写移动客户端。我已经编写了 REST API 来访问服务器上的数据。现在我需要对用户进行身份验证。
我已经阅读了很多关于此的内容,并得出了简单的解决方案。
首先,当用户第一次运行应用程序时,他必须输入正确的密码并从在线商店帐户登录。在这种情况下,密码以某种方式发送到服务器并在该用户得到响应后被检查。
如果一切正常,用户将收到可用于将来访问私人数据的访问令牌。如果没有,请获取简单的禁止消息。
我有一些问题:
第一次发送密码和登录以获得访问令牌的最佳方式是什么。使用某种算法加密密码,然后通过简单的 HTTP 发送密码或建立 HTTPS 会话,然后简单地使用此通道通过网络传输数据。在这种情况下,密码不必加密,使用 HTTPS 提供的公钥/私钥?
是否可以通过 HTTPS 作为 POST 方法发送此请求,例如使用下一个 URL /api/v0/store/auth ?或者最好换一种方式。
在所有使用 HTTPS 的情况下,我都需要自签名证书?
如果有任何帮助,我将不胜感激。提前致谢。
【问题讨论】:
标签: php android ssl https token