iPhone Webservice身份验证和访问令牌
问题描述:
我有一个iPhone/Android原生应用程序。它使用PHP Web服务(RESTful)。如何为我的Web服务添加安全身份验证系统?有人建议使用访问令牌。我如何生成访问令牌,以及如何管理它们? 我的理解如下:iPhone Webservice身份验证和访问令牌
1)在应用程序中,请求一个Web服务来验证用户名和密码。
2)在Web服务(在服务器上),创建一个唯一且安全的随机密钥,将其作为访问令牌存储在MySQL数据库中,并将其返回给Web服务请求。
3)在应用程序中,存储访问令牌并使用安全的Web服务请求发送它。
4)在完成请求之前,安全的web服务检查请求是否包含有效的访问令牌。
上述步骤是否正确?如果是,那么我如何过期访问令牌?我应该使用cron作业(计划任务)吗?请建议更好的方法。任何帮助将不胜感激。
答
您的上述步骤是有效的。在这里,你可以做什么过期访问令牌:
- 当用户按在应用程序中的注销按钮,注销按钮将调用Web服务删除访问令牌
- 您可以设置会话假设X小时超时。在服务器上运行X小时后调用调度程序以删除开放式访问令牌。
- 当相同的用户再次登录而不注销时更新访问令牌密钥。
非常感谢您的直接响应 – vks