Android ネイティブ アプリケーションと PHP Web サイト間の RESTful インターフェイスのベスト プラクティス/設計パターンの確認と関連ドキュメントを探しています。
これは理にかなっていますか?
何か不足していますか?より良いアプローチはありますか?永続的な接続のための一般的なアプローチはありますか?
このアプローチが使用されているのを見たことがありますが、その実装は非常に安全でした。これを authToken と呼ぶ代わりに、sessionToken と呼んでいます。これは、一定期間後に有効期限が切れるように設定され、サーバーがクライアントからユーザー名/パスワードを再度要求するように設定されているためです。これにより、デッド セッションをドロップし、誰かが悪意を持ってユーザーの sessionToken を取得した場合に、次回アプリが HTTPS に移行して資格情報を再度提供するときに、そのセッションが確実に阻止されるようにします (ログインに SSL 経由の HTTPS のみを使用すると仮定します)。すべてのトラフィックが SSL 経由で送信される場合、使用例は、サーバーの利益のためにセッション トークン タイムアウトを設定して、デッド セッションをクリアできるようにすることです。
*注意すべき点は、すべてのデータを SSL 経由で送信すると、通常のリクエストに比べてサーバーにかなりの負荷がかかるため、セキュリティを損なうことなく回避できれば、スケーラビリティに非常に役立ちます。