이것이 일부 사람들에게는 상식 일지 모르겠지만 아직도 배우고 있습니다. 웹 서버에 파일을 동기화하는 iOS 앱이 있습니다. 사용자가 기기에 로그인하면 로그 아웃하지 않는 한 로그인 상태를 유지합니다. 현재 사용자가 파일 추가, 업데이트 또는 삭제와 같은 서버 요청을 시작할 때마다 사용자가 이미 장치에서 인증 되었기 때문에 사용자의 전자 메일 만 보내고 암호는 서버에 보내지 않습니다.모든 서버 요청마다 사용자의 암호를 인증해야합니까?
요청할 때마다 사용자의 저장된 암호를 보내고 요청을 진행하기 전에 서버가 인증하도록해야합니까? 그 이유는 무엇?
그래서 각 사용자는 생성 된 단일 세션 식별자를 갖고 있습니까? 이런 종류의 서버 요청에 대한 고유 한 ID 같은가? 그것은 각 요청에 따라 변하거나 평생의 식별자입니까? 암호 해시는 어떻게됩니까? 대신 사용할 수 있습니까? – Snowman
로그인 할 때마다 새 세션 식별자를 생성합니다. 서버에 대해 무엇을 사용하고 있는지 확실하지 않지만 대부분이 자동으로이를 수행합니다. 핵심은 서버가 로그인하기 전에 세션 id 쿠키 *를 생성하고 비보안 채널을 통해 쿠키를 보낸 경우 로그인시 세션을 무효화하고 새 쿠키를 만들어야한다는 것입니다. 인증 된 모든 요청은 HTTPS를 통해 수행되어야합니다. – erickson
예를 들어 페이스 북의 iOS app..a 사용자는 대개 몇 달 동안 로그인 상태를 유지합니다. 그들은 어떻게했을까요? 사용자가 로그인 한 지 몇 달 동안 동일한 세션 ID를 사용합니까? 이메일이나 비밀 번호를 보내십니까? 사용자를 어떻게 조회합니까? – Snowman