繁体 English 中英

Android应用程序和PHP网站之间的RESTful接口的设计模式

[英]Design pattern for a RESTful interface between an Android app and PHP website

原文 2012-11-22 18:20:16 5 1 android/ rest/ design-patterns

寻找确认和相关文档，以获得Android本机应用程序和PHP网站之间RESTful接口的最佳实践/设计模式。

这有意义吗？

通过SSL的HTTPS请求（以便对通信进行加密）。
OAuth2用于基于令牌的身份验证（以便用户可以首先使用用户名和密码向网站进行授权，然后再依赖授权令牌）。

缺少什么？ 有没有更好的方法？ 是否有用于持久连接的一般方法？

1 个解决方案

我已经看到这种方法的使用，并且它的实现非常安全。 我将其称为sessionToken，而不是将其称为authToken，因为我的令牌被设置为在特定时间段后到期，并让服务器再次从客户端请求用户名/密码。 这有助于丢弃无效的会话，并确保如果有人成功地恶意获取了用户的sessionToken，则下次应用程序移至HTTPS以再次提供凭据时，他们将受到挫败（假设您仅通过SSL使用HTTPS进行登录）。 如果所有流量都通过SSL发送，则用例将是会话令牌超时，以使服务器受益，以便它们可以清除死会话。

*需要注意的是，与常规请求相比，通过SSL发送所有数据在服务器上的开销相当大，因此，如果在不影响安全性的前提下避免使用它，则确实可以帮助实现可伸缩性。