일부 제품과이 제품을 추가하고 검색 할 수있는 사용자를 위해 json api를 만들었습니다. 그래서 사용자는 로그인/패스를 가지고 있으며, POST API 호출을 할 수있는 이러한 자격 증명을 가지고 있습니다.회원 신청서가있는 모바일 응용 프로그램
이제 iPhone/Android 앱을 만들고 싶습니다. 이러한 게시물 요청을 처리하는 방법을 궁금합니다. 처음으로 사용자 자격 정보를 묻는 메시지가 표시되면 POST 요청을 한 번만 할 수 있습니다. 그러나 이러한 자격 증명은 어디에 저장해야합니까? 모바일? 다음 응용 프로그램 시작시 계속 지속되면 로그인이 계속됩니다.
도움이되는 링크가 있으면 환영합니다.
일반 텍스트 또는 암호화 된 로그인 자격 증명을 저장하지 않지만 사용자가 한 번 로그인하면 OAuth 스타일의 로그인 절차를 구현하여 서버가이를 확인하고 비교적 긴 임의의 문자열을 평소와 비교하여 생성합니다 사용자 암호).
장점은이 임의의 문자열이 횡설수설한다는 것입니다. 이 토큰이 제 3 자에게 유출된다면 기본적으로 서비스에 대한 키만 있고 다른 서비스에 대한 액세스 권한을 부여 할 수있는 보편적 인 키가 아닙니다 (사람들은 일반적으로 다른 장소에 대해 다른 암호를 암기하기에 너무 게을러서 착취 당한다).
기본적으로 사용자는 보안을 강화하고 보안을 강화합니다.
Android의 경우 해당 토큰을 앱의 개인 저장소에 저장할 수 있습니다.이 토큰은 다른 앱에 액세스 권한이 없기 때문에 안전한 것으로 간주 될 수 있습니다 (루팅되거나 손상된 기기는 고려하지 않았지만 문제).
서버 인증을 위해서는 해당 토큰을 추가 헤더 값 (예 : 앱의 HTTP 요청)으로 추가하기 만하면됩니다.