api 인증 시스템을 사용하려고합니다. 하지만 기존 방식과 달리 이메일과 비밀번호가없는 이됩니다.전자 메일 및 암호가없는 인증.
프런트 엔드는 Android 앱입니다. 처음에 앱은 로컬 저장소에 빈 auth_token을 가지게됩니다. 이제 앱은에 대한 인증 요청을 mobile_number, device_id 및 gcm_id를 전송하여 서버에서 인증 토큰으로 요청합니다.
이제 서버는 16 securerandom hex,
을 생성하고 프런트 엔드에 인증 토큰으로 보냅니다.
프런트 엔드는이 인증 토큰을 사용하여 모든 API를 호출해야합니다.
서버 사용자 테이블은 다음과 같습니다.
id || mobile_number || device_id || gcm_id || AUTH_TOKEN
질문 1 :
내가 MOBILE_NUMBER, 디바이스 ID를 기반으로 내 인증 토큰을 생성해야하거나 독립적으로 생성 할 수 있습니까?
질문 2 :
이 인증 토큰을 변경해야 하는가? 또는 사용자에게 동일한 인증 토큰을 영구적으로 사용할 수 있습니까? 인증 이런 종류의 함정은 무엇
: 그것은 변경해야하는 경우 .. 당신은
질문 3을 사용하는 전략을 지적 나를 안내하시기 바랍니다 수 있습니다. 나는 사용자가 전자 메일과 암호를 입력하는 것을 원하지 않지만 동시에 개인화 계산을 위해 사용자를 식별하려고합니다.
사용자의 전화가 끊어지면 계정에 대한 액세스가 영구적으로 손실됩니까? – zerkms
그렇듯이 간단합니다. – gates