API의 보안 클라이언트 토큰 인증

Question

RESTful API에 인증하려는 모바일 iOS 애플리케이션이 있습니다. 모든 사용자는 잠재적으로 동일한 계정에 연결된 여러 장치를 가지고 있습니다.

하는 서버

에 사용자 이름/암호를 & 고유 한 장치 ID를 보내 사용자 이름/암호

클라이언트 측

• 하자 사용자 로그인 :

  지금까지 나는 다음과 함께했다

• 서버에서 authToken 가져 오기 및 각 API 호출에 대한 HTTP 인증 헤더에 설정
• 로그 아웃,
가

서버 측

• API가 SSL을 사용 authToken에 제거
• 사용자
• 장치 고유의 장치 ID와 authToken에
• 각각에 의해 표현되는 많은 관련 장치를 가지고 사용자가 암호를 변경하고 모든 인증 메시지를 재생성 할 때
• 장치가 제거 된 경우 aut 해당 장치

에 대한 hToken는이 API에 액세스 할 수 수동/장치를 취소 추가 보안 방법이 될 것인가?

Answer 1

네, 이것은 상당히 표준적인 접근 방법입니다. Google은 a document that describes this approach (대부분의 문서는 서버에서 클라이언트로 토큰을 가져 오는 데 도움이되므로 유용하지 않을 수 있습니다.) 그리고 좀 더 detailed description of bearer token authentication입니다.

서버를 작성중인 애플리케이션 프레임 워크가 이미 OAuth와 같은 인증 메커니즘을 지원하는지 확인해야합니다. 따라서 직접 작성하지 않아도됩니다.