0

クライアント (iPhone) とサーバー (PHP) の 2 つの側面を持つアプリケーションを構築しています。httpsを使った通信。携帯電話は 4SQ アクセス トークンを取得します。次に、そのトークンをサーバーに送信し、サーバーはそれを使用して 4SQ API 呼び出しを行います。私の質問は、このトークンを送信する方法についてです。

私の考えは、HTTP 認証要求のヘッダーにトークンを含めることでしたが、基本/ダイジェスト認証について読んだ後、それはそれを行う方法ではないと思います。実際には、4SQ API の呼び出しはリクエスト パラメータを使用して行われます。

oauth_token=ACCESS_TOKEN

トークンを認証ヘッダーやその他の場所に配置する代わりに。それには正当な理由があると確信していますが、それを見つけることができません。

次に、どのオプションが最適ですか?

  • 4SQ が行うように、電話は要求パラメーターとしてトークンを PHP サーバーに送信します。
  • 電話は認証ヘッダーでトークンをPHPサーバーに送信します(認証の種類は何ですか?)
  • その他の方法で

よろしくお願いします。

4

1 に答える 1

1

最も安全で合理的​​な方法はHTTPSPOSTだと思います。トークンがHTTPSリクエストのクエリ文字列の一部である場合、トークンも暗号化されます。ただし、サーバーログにはクリアテキストが表示されます。ブラウザを使用している場合は、ブラウザの履歴にも表示される可能性があります。HTTPヘルパーライブラリによっては、たとえばリクエストが失敗した場合に、HTTPSURLをログに記録することもできます。

私の目には、Authenticationヘッダーでトークンを送信するのは奇妙なことです。これは、サーバーとクライアント間の認証には使用されないためです。

于 2012-04-27T09:32:17.070 に答える