【发布时间】:2012-12-28 17:04:54
【问题描述】:
所有这些移动应用程序如何登录用户?我做了很多研究并阅读了教程,但我找不到明确的答案......
我使用 Phil Sturgeon 的 REST server 为我的 Codeigniter Web 应用创建了一个 API。现在我需要创建一个移动应用程序(适用于 Android 和 ios),它可以处理来自我的 Web 服务器的远程数据。 (我决定使用Appcelerator 构建我的应用程序。)
我的目标是允许用户从我的移动应用程序登录并通过 REST 服务器 API 进行 CRUD 操作。 API 使用HTTP digest access authentication,但我担心安全性,因为它通过 HTTP 发送用户名和密码。是否有更安全的方式来验证用户?
用户登录后如何在不重新登录的情况下执行 CRUD 操作?
【问题讨论】:
-
您是否正在寻找某种仅通过切换到 HTTPS 无法实现的安全性?
-
切换到 HTTPS 就足够了吗?我也在考虑使用 API 密钥。
-
我认为很多应用程序所做的是将用户名/密码交换为表示用户在特定时间通过 SSL 登录的令牌,然后在强制使用之前使用一段时间重新认证
-
digest 发送认证元素的 md5。密码未按原样发送。
-
@JeffS 例如,让用户从移动应用程序直接登录网站并使用令牌保存 cookie?然后我可以使用该令牌从 mobiel 应用程序执行 CRUD。令牌通过 HTTPS 发送
标签: android ios api rest appcelerator