いくつかの製品と、これらの製品を追加および検索できるユーザーが含まれるデータベース用にjsonapiを作成しました。したがって、ユーザーはログイン/パスを持っており、これらの資格情報を使用してPOSTAPI呼び出しを実行できます。
iPhone / androidアプリを作成したいのですが、これらのPOSTリクエストをどのように処理するのか疑問に思っています。最初にユーザーの資格情報を尋ねると、1回のPOSTリクエストを実行できるようになります。しかし、これらの資格情報はどこに保存しますか?モバイルで?それを永続化する必要がある場合、次のアプリケーションの開始時に、ログインは引き続き存在しますか?
役立つリンクを歓迎します。
プレーンテキストや暗号化されたログインクレデンシャルはまったく保存しませんが、ユーザーが1回ログインすると、サーバーがそれを検証し、認証トークンとして比較的長いランダムな文字列を生成するOAuthスタイルのログイン手順を実装します(通常のユーザーパスワードと比較して)。
利点は、このランダムな文字列がぎこちないことです。そのトークンがサードパーティに漏洩した場合、基本的にはサービスへのキーのみがあり、他のサービスへのアクセスを許可できるユニバーサルキーはありません(人々は通常、場所ごとに異なるパスワードを覚えるのが面倒なので、悪用される)。
したがって、基本的には、ユーザーに好意を示し、セキュリティを強化します。
Androidの場合、そのトークンはアプリのプライベートストレージに保存できます。これは、他のアプリにはアクセス許可がないため、安全であると見なすことができます(ルート化されたデバイスや侵害されたデバイスは考慮されませんが、問題にはなりません)。
サーバーでの認証では、そのトークンを追加のヘッダー値として、たとえばアプリのHTTPリクエストに追加するだけです。