【问题标题】:Design pattern for a RESTful interface between an Android app and PHP websiteAndroid 应用程序和 PHP 网站之间的 RESTful 接口的设计模式
【发布时间】:2012-11-22 18:20:16
【问题描述】:
为 Android 本机应用程序和 PHP 网站之间的 RESTful 接口寻找最佳实践/设计模式的确认和相关文档。
这有意义吗?
- 通过 SSL 的 HTTPS 请求(以便加密通信)。
- OAuth2 用于基于令牌的身份验证(以便用户最初可以使用用户名和密码向站点授权,然后依赖授权令牌)。
有什么遗漏吗?有更好的方法吗?是否有用于持久连接的通用方法?
【问题讨论】:
标签:
android
rest
design-patterns
【解决方案1】:
我已经看到使用了这种方法,并且它的实施非常安全。我没有将其称为 authToken,而是将其称为 sessionToken,因为我的设置为在一段时间后过期,并让服务器再次从客户端请求用户名/密码。这有助于删除无效会话,并确保如果有人成功恶意获取用户的 sessionToken,那么下次应用程序移至 HTTPS 以再次提供凭据时(假设您仅使用 SSL 上的 HTTPS 进行登录),他们将被阻止。如果所有流量都是通过 SSL 发送的,那么用例是让会话令牌超时以使服务器受益,以便他们可以清除死会话。
*需要注意的是,与常规请求相比,通过 SSL 发送所有数据在服务器上的成本相当高,因此如果您可以在不影响安全性的情况下避免这种情况,它确实有助于提高可扩展性。