公司的 mobile app 是外包给其他公司做的,所以现在他们需要我们提供 API 接口进行调试,由于没有 API 开发的经验,所以现在一个比较难把握的问题就是如何实现服务器端与移动 APP 端通信时的用户身份认证问题。
搜集了一些资料,大部分的建议是在服务器端生成一个 token 然后在通信报文的 headers 利用这个 token 来进行验证。
这里有两个问题,首先这样直接生成 token 进行认证的安全性。其次,生成的 token 应该怎么保存呢?存在 DB 里面还是哪个地方?(服务器端使用的是 php)
因为本身产品对安全性要求不是特别高,远没有达到网银之类的需求,所以在不考虑使用 oauth 等授权协议基础上,我比较希望知道一些常用的身份验证机制,以保证基本的安全性即可。
再把问题写清楚点:
1.怎么生成安全性比较高的 token。
2.token 需不需要设置过期时间(考虑到是 mobile app,所以这个比较难设计,因为很少
有人会在 app 上会 log out 再重新登录)。
3.token 除了存在 db 内,有没有一些更方便合适的方式。
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
8
1013
收藏
看你的意思是不需要绝对安全的,所以猜测你的目的是防恶意请求的,以上两种方式应该可以满足了。
告诉你一个很好的学习方式,去各大网站,微博、腾讯、Facebook、Google,看他们的OpenApi是怎么实现的,需要提供什么样的参数,你就可以依葫芦画瓢做出来了。
最简单用session,业务层上不用做太大的变动,呵呵。
应该采用 OAuth 2.0 Client Credentials Grant(最容易),或者 JSON Web Token模型(安全性更高)
没神马要求的话,就是通过账号密码换取一个加密串,想怎么加密随你,服务端生成这个的时候保存下用户信息。。用户每次请求都把这个东西和参数一起发送过来,你就能验证用户了。。主流的是OAuth,其实本质都是这样。