【发布时间】:2013-07-18 21:40:35
【问题描述】:
我们正在构建一个 iOS 应用程序,它将使用我们的 API 与我们现有的网站进行交互。该网站使用标准 PHP 会话来跟踪登录用户。
我们如何处理应用程序中的用户登录?我们是像在网站上那样使用会话 + 会话 ID 还是其他方法?
我见过很多提到的 API 令牌,但我还没有找到一个可靠的描述来解释会话 ID 和 API 令牌之间的区别,或者 API 令牌只是会话 ID 的另一个名称?
【问题讨论】:
-
API 令牌通常授权特定应用程序与另一个应用程序交互。我想您将为原生 iOS 应用程序使用单个 API 令牌,并继续使用 PHP 会话 ID 来验证用户是否登录或退出。实现这一点会因应用程序结构而异(例如,使用 web 视图时工作量会很小,但您可能希望将其与文本字段/按钮等链接起来)。我会查看stackoverflow.com/questions/9148594/…
-
为什么很多人推荐basic auth进行用户认证?
-
如果您通过 .htaccess 谈论基本身份验证,我无法真正评论人们为什么推荐它。我可以说 Basic Auth 是由知道自己在做什么的人创建的,并且它可能提供比从头开始创建更安全的登录,除非您知道自己在做什么或需要与用户帐户进行数据库交互 - 这可能是.htaccess 更难处理。