如何為iOS和Android移動應用程序創建REST身份驗證

Question

我正在構建一個iOS和Android版本的應用程序。 我想創建或實現兩個應用程序都可以使用的現有REST身份驗證過程。 我知道我可以通過一個簡單的Get服務來實現這一點，但是這會明確地傳遞密碼。 是否有任何API處理移動應用程序的身份驗證？

我不想使用OAuth，因為我不希望用戶必須采取額外步驟來允許訪問其數據。 我希望用戶無縫輸入用戶名和密碼，並在我使用過的大多數移動應用程序中進行身份驗證。

Answer 1

如果您確定不想要OAuth之類的東西，那么您只需要兩件事：

1）僅限https - 這可以防止用戶名：密碼被截獲（輕松）

2）POST URL，用於發送用戶名：密碼

POST很重要！ 如果它只是GET，那么用戶名和密碼將存儲在您的服務器日志中，並且可能會緩存請求。

你會發現類似的東西：

https://www.example.com/myaccount/login

使用POST參數

username=deanWombourne&password=hunter2

然后，我將登錄狀態存儲為該會話的服務器上的屬性，以用於將來的所有請求。

Answer 2

如果您使用安全連接（HTTPS）發送用戶名/密碼將不是問題。 其他需要考慮的事項是，移動設備上的會話超時和會話緩存，以及所需的安全步驟，間歇性網絡連接問題等。

Answer 3

您能否向我們展示一些代碼，以便我們可以獲得更好的想法，現在可以使用OAuth，因為用戶更熟悉此方法，並且在沒有使用HTTPS的情況下更安全，因為有一部分用戶（我也不接受在非官方應用程序上寫密碼，所以他們可能會忽略你。

Answer 4

HTTPS是您的首選，如果可能的話。

我建議你看看amazons S3 auth。 http://docs.amazonwebservices.com/AmazonS3/latest/dev/RESTAuthentication.html

還看這里 。