iOSとAndroidのバージョンでアプリを作成しています。両方のアプリで使用できる既存のREST認証プロセスを作成または実装したいと思います。簡単なGetサービスでこれを達成できることは知っていますが、これによりパスワードが平文で渡されます。モバイルアプリの認証を処理するAPIはありますか?
ユーザーがデータへのアクセスを許可するという余分な手順を踏む必要がないため、OAuthを使用したくありません。私は、ユーザーがユーザー名とパスワードをシームレスに入力し、私が使用したほとんどのモバイルアプリのように認証されることを望んでいます。
OAuthのようなものが必要ないと確信している場合は、次の2つが必要です。
1)httpsのみ-これにより、username:passwordsが(簡単に)傍受されるのを防ぎます
2)username:passwordを送信するPOST URL
POSTは重要です!GETだけの場合は、ユーザー名とパスワードがサーバーログに保存され、リクエストがキャッシュされる可能性があります。
あなたは次のようなもので終わります:
https://www.example.com/myaccount/login
POSTパラメータを使用
username=deanWombourne&password=hunter2
次に、ログインした状態を、今後のすべてのリクエストのために、そのセッションのプロパティとしてサーバーに保存します。
セキュア接続(HTTPS)を使用する場合、ユーザー名/パスワードの送信は問題になりません。その他の考慮事項は、モバイルデバイスでのセッションタイムアウトとセッションキャッシュ、およびそれに必要なセキュリティ手順、断続的なネットワーク接続の問題などです。
より良いアイデアを得ることができるように、コードの一部を見せていただけますか。ユーザーがこの方法に精通しているため、OAuthを使用しても問題ありません。また、ユーザーの一部がいるため、HTTPSを使用しなくても安全です(私も)非公式アプリにパスワードを書くことを受け入れないので、あなたを無視するかもしれません。
HTTPSが最初の選択肢です。可能であれば。
アマゾンS3認証を確認することをお勧めします。 http://docs.amazonwebservices.com/AmazonS3/latest/dev/RESTAuthentication.html
こちらもご覧ください。