私が作成したクライアントに Restful API を提供するサーバー アプリケーションがあります。これは私がこれまで行っていることです:
1)。クライアントがユーザー/パスワードを入力できるログイン REST URL を提供する (SSL 経由)
2)。サーバーでユーザーを認証し、sha1 で暗号化されたトークンを返します (ユーザーはこの時点でサーバーにログインしています)。トークンは sha1(user.email + date time など) のように作成されます。
3)。クライアントはトークンを使用してリクエストを行います
4)。サーバーで処理されるリクエストの場合、トークンはヘッダーまたは URL から読み取られ、ログインしているユーザーの sha1 (user.email + 日時など) と比較されます。
5)。一致した場合はリソースが返され、そうでない場合は 401 ログインしていませんが返されます。
6)。クライアントが完了したら、ログアウトして、ローカル トークンのコピーを削除できます。
これで十分かどうか教えてください。または、私がばかげたことをしていると思う場合は、改善できるようにお知らせください。
ありがとうございました