私は現在、半分ウェブアプリ、半分アンドロイドアプリになるサービスを設計しています。各ユーザーは、openID アカウントを使用して、Android アプリまたは Web アプリからログインできる必要があります。Android との統合を簡単にするために、最初に Google をターゲットにしたいと考えていますが、Google の連絡先と統合できるように、後で OAuth も必要になります。
私が少し問題を抱えているのは、ユーザーを認証する方法です。私が計画した構造は、クライアントが JavaScript ブラウザー クライアントであろうと Android クライアントであろうと、サーバー (おそらく web.py を使用しますが、現時点では柔軟です) が JSON でクライアントにデータを提供することです。ただし、各呼び出しでは、クライアントがそのデータへのアクセスを許可されていることを確認する必要があります。
- これをプラットフォーム間で標準化する最も簡単な方法は何でしょうか?
- ログイン後の認証にセッションシステムを使用する必要がありますか? Androidアプリから動作させることはできますか? それ以外の場合は、すべてのリクエストに対して単に Google で認証する必要がありますか?
- アプリから認証する場合、サーバーを介して、またはアプリから直接、どこで認証を行う必要がありますか? この場合、認証トークンはどこに保存する必要がありますか? (ストレートな webapp の場合、トークンはユーザー データベースのテーブルに格納する必要があると思いますか?)
質問が殺到して申し訳ありませんが、これらの問題を明確に説明しているリソースをオンラインで見つけたことがありません。