移动 APP 端与服务器端用户身份认证的安全方案

最新推荐文章于 2024-06-17 18:08:55 发布
最新推荐文章于 2024-06-17 18:08:55 发布
阅读量1.1w 收藏 3
点赞数

公司的 mobile app 是外包给其他公司做的,所以现在他们需要我们提供 API 接口进行调试,由于没有 API 开发的经验,所以现在一个比较难把握的问题就是如何实现服务器端与移动 APP 端通信时的用户身份认证问题。
搜集了一些资料,大部分的建议是在服务器端生成一个 token 然后在通信报文的 headers 利用这个 token 来进行验证。
这里有两个问题,首先这样直接生成 token 进行认证的安全性。其次,生成的 token 应该怎么保存呢?存在 DB里面还是哪个地方?(服务器端使用的是 php)

因为本身产品对安全性要求不是特别高,远没有达到网银之类的需求,所以在不考虑使用 oauth 等授权协议基础上,我比较希望知道一些常用的身份验证机制,以保证基本的安全性即可。

再把问题写清楚点:
1.怎么生成安全性比较高的 token
2.token 需不需要设置过期时间(考虑到是 mobile app,所以这个比较难设计,因为很少
有人会在 app 上会 log out 再重新登录)。
3.token 除了存在 db 内,有没有一些更方便合适的方式。

默认排序 时间排序

6 个回答

1
采纳
peixinchen 111  2014年04月29日 回答
  1. APP里预埋一个token,结合时间戳/每次请求的一个随机值randstr,生成一个最终signature,在Server进行验证即可,(安全级别不是很高,但防大部分恶意请求没问题了)。
  2. 如果还需要针对不同用户生成不同的sigature,可以结合手机的DeviceId,在首次请求是上报这个,以后的请求就把DeviceId也作为因子带入sigature的生成里。当然,这个过程也不是绝对安全的。

看你的意思是不需要绝对安全的,所以猜测你的目的是防恶意请求的,以上两种方式应该可以满足了。

1
wenhx 131  2014年04月29日 回答

告诉你一个很好的学习方式,去各大网站,微博、腾讯、Facebook、Google,看他们的OpenApi是怎么实现的,需要提供什么样的参数,你就可以依葫芦画瓢做出来了。

1
远方的落日 63  2014年04月29日 回答
  1. token一般可以用用户名和密码处理后生成。
  2. token过期可做可不做,如果移动端发现token过期则跳到登录界面让用户重新登录即可。
  3. 你是指客户端存token的地点还是服务器端?一般都可以存在数据库中,不过对移动设备来说存在XML中作为键值对更为普遍。
1
_404_MrYes 103  2014年05月07日 回答 · 2014年05月08日 更新

首先回答第三个问题:存在rdb不妥,本来保存的就是临时数据,没有持久化的必要,用缓存即可,memcached/redis均可。

为何说是临时数据token本来是用来做授权的,应当只能允许可信用户使用,假如是长久数据,那么一旦token泄露,就难免会造成伪造访问的风险。

不知道提主的应用是用什么做用户认证,假定是传统的用户名密码认证方式,其实可以参考http的session,认证通过后生成的sessionid信息其实就可以作为后续访问的token。用户每次请求是携带uid+sid信息来即可,通过sid反查uid或者uid查询sid,然后匹配即可。在token超时时让用户重新来申请即可。对于移动端,建议走https通道。

如何生成安全性高的token,常规的签名算法就可以了,毕竟是不可逆的,原串组合方式不泄露就行,md5的话记得加盐。

对于在app中内置token的做法不建议。首先,内置的token所有应用统一呢?这样获取到了token,基本就可以伪造了,不同的设备不同呢?其实也差不多。而且这样实现起来也比较负责,因为server端要进行验证,猜测应当是用对称加密算法,签名验证?其实最大的疑问是真能用来授权么?我看题主提到了多账户的问题,那么设备与用户就不是一一对应的关系。

0
web_focus 86  2014年04月30日 回答

最简单用session,业务层上不用做太大的变动,呵呵。

0
小熊油耗 30  4月3日 回答

应该采用 OAuth 2.0 Client Credentials Grant(最容易),或者 JSON Web Token模型(安全性更高)



转载:http://segmentfault.com/q/1010000000486648

追寻北极
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ios移动社交app的客户+webservice服务器源码
01-08
本资源提供的"ios移动社交app的客户+webservice服务器源码"正是一个完整的解决方案,涵盖了用户交互、数据交换以及服务处理的核心部分。下面我们将深入探讨其中涉及的关键知识点。 1. **iOS客户开发**: ...
社交APP前后.rar
06-18
总的来说,这个压缩包提供的资源为开发者提供了一个完整的社交APP解决方案,涵盖了从客户展示到服务器处理以及数据存储的全过程。无论是初学者还是有经验的开发者,都可以通过学习和理解这些代码,进一步提升...
超详细的用户认证、权限、安全原理详解(认证、权限、JWT、RFC 7235、HTTPS、HSTS、PC、服务移动、第三方认证等等)
jclee95的个人博客
12-25 4275
用户权限认证原理详解 作者: 李俊才 CSDN 主页:https://blog.csdn.net/qq_28550263?spm=1001.2101.3001.5343 邮箱:291148484@163.com 1. 用户认证与权限 1.1 用户认证 (1) 什么是用户认证? 从过程上看,用户身份认证用户登陆。从功能上看,用户身份认证的目标是标识和区分不同的用户 (2) 用户认证常见过程 1) 认证前 当用户进行身份认证之前,可能并未到达身份认证处。这时用户可能正在操作一些表单数据或者浏览
微信小程序:解锁权限管理与用户身份验证的“密钥宝典”
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
06-17 607
权限管理和用户验证,就像小程序的左右护法,少了任何一个,都难以成就一番事业。通过上述实战演练,希望能为你搭建起一座坚固的桥梁,通往安全而高效的小程序开发彼岸。但记住,技术之路永无止境,每一次挑战都是成长的契机。你还有哪些独门绝技或棘手难题?欢迎留言讨论,让我们共同守护小程序的“秘密花园”。此篇文章旨在以专业而不失趣味的方式,全面解析微信小程序的权限管理和用户身份验证,希望它能成为你开发路上的得力助手。如果你有任何疑问、建议或是想分享的实战经验,评论区见!欢迎来到我的博客,很高兴能够在这里和您见面!
移动接入身份认证技术
YUGUOHOU的博客
01-04 667
什么是移动接入? 现在的移动办公和远程办公已经成为了常态,扩展了组织网络的边界,让组织更加充分的利 用互联网,让组织的信息化建设发挥更大的价值,然后就有了移动接入这个概念 背景 用户远程接入企业内网,有哪些技术可以实现在复杂业务场景下,保障终用户接入内网的 身份安全性,同时尽可能保障用户使用体验? 身份认证技术 6种固定认证方式 本地用户名/密码,LDAP服务器,Radius服务器,CA认证,AD域单点登录 辅助认证 硬件特征码,动态令牌,短信认证 (主认证至少...
app源码带网页.zip_rocketr87_云电脑app源码_带app网页源码_登录验证系统_计费系统
09-23
4. 会话管理:一旦用户登录成功,系统会生成一个会话ID并存储在服务器,客户则保存一个对应的会话令牌,用于后续请求的身份验证。 计费系统是云服务的核心部分,它负责跟踪用户的使用情况并根据预设规则进行...
电信设备-一种服务器和客户移动支付方法、装置及系统.zip
09-19
总的来说,这个压缩包文件提供的“一种服务器和客户移动支付方法、装置及系统”很可能详述了如何设计和实施这样一个综合的移动支付解决方案,涵盖了从软件开发到硬件部署的各个方面,确保了用户能够安全、方便地...
APP架构之后接口设计方案之初探.zip
12-23
移动应用开发中,后接口设计是连接前服务器的重要桥梁,它定义了两者间的通信协议和数据交换格式。本篇文章将深入探讨APP架构之后接口设计方案,旨在为开发者提供一个清晰的设计思路和实践指导。 首先...
App用户验证方案
10-30
传统Web网站使用Cookie+Session保持用户的登录状态,浏览器都有cookie,每次请求会带回sessionid,这样应用服务器就找出对应的session。业务逻辑里只要看session里有没有用户信息,那么在App后台怎么实现类似的功能呢?在App后台怎么避免每次验证用户身份都需要传输用户名和密码呢?
移动证件(身份证)识别
ocr92的博客
10-09 1232
随着时代的发展我们从前几年的互联网时代发展到现在的移动互联时代。每个人出门都会带各种证件特别是身份证,在很多时候都会用到,身份证识别的快慢直接影响整个业务流程的速度。于是基于OCR技术的的移动身份证识别就孕育而生了。   移动身份证识别的特点 支持Android、iOS平台,支持二次开发。可以通过手机或者平板摄像头对准身份证,采用视频预览模式识别,实现自动采取身份证的信息,类似扫描二维码...
配置Shiro中所遇到的各种拓展知识点笔记
m0_51672985的博客
04-09 976
一:关键词 1:Subject:当前用户 2:UsernamePasswordToken:通常情况是使用username与password来创建token(令牌) username也叫作身份:principals password叫作:credentials 3:SecurityManager:所有的Subject交付给它管理,进行认证与授权 4:Realm:用户自定义,认证授权逻辑编写 5:AuthenticationInfo:用户的角色信息集合,认证时使用 6:Ath...
springboot+shiro+redis多登录:单点登录+移动和PC同时在线
geejkse_seff的博客
03-28 2835
参考文章: 单点登录:https://mp.weixin.qq.com/s/DGFFPl93kZxS5G_DSFTBDA 多登录:https://blog.csdn.net/zhourenfei17/article/details/88826911 一、前言 最近一个springboot项目要求增加一些app的功能。然后首先要改的就是这个登录的功能。我原本的登录就只是web登录,实现了单点登录,就是同一个用户只能同时登录一次,如果再次登录的话,会清除上一次的登录信息。(具体实现参考上面的单点登录链接)
APP的登录认证安全
热门推荐
Enweitech Software Works
09-11 2万+
一、登录机制 粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户提供用户名和密码,向服务器提出登录请求,服务器判断客户是否可以登录并向客户确认。 登录认保持是指客户登录后, 服务器能够分辨出已登录的客户,并为其持续提供登录权限的服务器。登出是指客户主动退出登录状态。容易想到的方案是,客户登录成功后, 服务器为其分配sessionId, 客户随后每次请...
移动 APP 服务器用户身份认证安全方案 \token
chuojianjia2695的博客
10-17 275
https://segmentfault.com/q/1010000000486648 转载于:https://my.oschina.net/allsmallpig/blog/155204...
app服务器交互 token
彻底拆分,一切可控!
09-30 1万+
1.产生原因 app 应用需要访问服务器,此过程中涉及到身份认证和权限控制的问题,如何搭建 app服务器之间信任的桥梁? 我们都知道,session、cookie 是作为浏览器里面的用户服务器之间认证的一个方式,而app服务器之间的交流也是使用的 http 请求,很明显它们遇到的问题是差不多的,但是因为 app 和浏览器又不完全一样(浏览器可以存放 cookie),所以我们可
移动APP推广策略:标准模板与关键数据指标
移动APP移动推广计划方案(标准格式模板)是一个全面的指南,旨在帮助开发者和营销人员制定有效且系统化的移动应用推广策略。它涵盖了从App运营的基本概念到实际操作的详细步骤,确保产品能够成功吸引、保留用户并实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值