WindowsPhoneとAndroid用のアプリを作成しています。ですから、今は両方が使用できるWebAPIを構築していますが、他のアプリケーション以外では使用できないように保護したいと考えています。どうすればいいですか?他の誰も私のアプリがこれらのAPIにアクセスすることはありません。
OAuthを実装したくありません。
私が考えている2つのシナリオがあります。
最初に(ユーザー名とハッシュ化されたパスワードをクライアントに保存します):
- https / sslを介した基本認証、それだけです。
2番目(アクセストークンをクライアントに保存します):
- アクセストークンを受信するためのhttps/sslを介した基本認証。
- アクセストークンを取得するために、ユーザーは、クライアントとサーバーの両方がclientsecretを認識していることを確認するトークンをrequestokenに要求します。
- APIを呼び出すたびに、アクセスを確認するためにアクセストークンを送信する必要があります
2番目のアプローチで見た問題は、サーバーがアクセストークンをクライアントに送信することです。これを取得する場所があれば、ユーザーのアクセス権があります。
それは現実の世界でどのように行われていますか?