我正在编写一个iPhone应用程序作为我网站的移动版本.
我打算公开一些REST API,以便应用程序可以更新用户的数据.
我不希望用户每次都登录,但我想保存他的令牌/ cookie并将其重新用于将来的所有请求.
我可以设置一个随机令牌并将其与用户ID一起传递,但它不是很安全,因为它很容易在越狱设备上访问它.我无法使用IP来限制它,因为IP可能会经常更改(因为它是移动设备).
实施此类身份验证的最佳方式是什么,该身份验证足够安全,但不会通过要求他经常验证自己来惹恼用户?
解决方法:
将具有初始登录详细信息的UDID或mac地址发送到您的服务器.如果username / pass成功,则为此用户/ UDID(或mac)组合创建唯一令牌,并将其发送回(加密)到设备.在后续访问中,设备发送加密的令牌和UDID / mac(通过安全连接)以进行重新认证.
如果你想让偏执的人放心跟踪UDID,你可以使用UDID / mac加密加密的令牌,但这不会那么安全,但是应该继续工作.
标签:php,rest,authentication,mobile
来源: https://codeday.me/bug/20190521/1146997.html