모바일 장치 용 PHP를 사용하는 토큰 인증

Question

저는 웹 사이트의 모바일 버전이 될 iPhone 응용 프로그램을 작성하고 있습니다.

앱이 사용자의 데이터를 업데이트 할 수 있도록 일부 REST API를 노출하려고합니다.

매번 사용자가 로그인하는 것을 원하지 않지만 토큰/쿠키를 저장하고 이후의 모든 요청에 ​​다시 사용하려고합니다.

임의의 토큰을 설정하고 사용자 ID와 함께 전달할 수 있지만 jailbroken 장치에서 쉽게 액세스 할 수 있으므로 안전하지 않습니다. 나는 IP가 아마도 (모바일 장치이기 때문에) 자주 바뀔 것이므로 IP를 사용하여 그것을 제한 할 수는 없다.

보안은 충분하지만 사용자에게 자주 인증을 요청하여 사용자를 괴롭히지는 않는 인증을 구현하는 가장 좋은 방법은 무엇입니까?

Answer 1

초기 로그인 세부 정보가 포함 된 UDID 또는 mac 주소를 서버에 보냅니다. 이 사용자/UDID (또는 Mac) 조합에 대한 고유 토큰을 작성하고 사용자 이름/패스가 성공하면 디바이스로 다시 전송합니다 (암호화 됨). 후속 액세스에서 장치는 재 인증을 위해 암호화 된 토큰 및 UDID/mac (보안 연결을 통해)을 보냅니다.

UDID 추적에 대해 편집증 환자를 편하게 생각하고 싶다면 UDID/mac을 사용하여 암호화 된 토큰을 암호화 할 수 있지만 안전하지는 못하지만 여전히 작업을 수행해야합니다.