[英]How to do Android Sync Provider server side implimentation?
我在云中托管了一个基于J2EE
的销售点Web应用程序,数据库正在使用postgresql
。 现在我正在为Point of Sales构建一个Android应用程序。 对于数据sync
我已经阅读了很多关于如何创建SyncAdapter
等但很少有关于服务器端开发的内容。 我的第一个问题:
如何创建身份验证令牌? 谁将创建此AuthToken
? 我的服务器端RESTful
webservice或Device SyncAdapter
本身? 谁应该启动AuthToken
到期 - 设备或服务器webservice
?
目前我的Web应用程序获得了许多用户级权限。 当数据来自设备同步时,我需要在同步之前检查用户权限。 我是否需要在服务器端webservices
自定义写入这些权限检查?
简而言之,服务器负责创建AuthToken。
为了更好地理解,您应该阅读OAuth2规范 。 虽然您可以编写自己更简单的解决方案,但我建议您使用OAuth2来避免一些陷阱。 在您的情况下,身份验证授予类型“ 资源所有者密码凭据 ”似乎是最合适的。
Apache Oltu是一个用Java实现OAuth2的框架,但你仍然必须自己处理诸如标记持久性等问题。
是的,您必须检查服务器端的权限。 不要相信客户!
除此之外,您可以通过在Android中使用不同的令牌类型来更严格地限制应用程序。 例如:当您从服务器应用程序和Android应用程序访问Web服务时,您可以根据令牌类型(Android与内部)区分权限。 或者,您可以为应用程序的用户提供一个选项,将应用程序的访问权限仅限于读取操作。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.