0

これは、モバイルアプリからHerokuでホストされているPlayアプリへのAPI呼び出しを保護する方法についての私の以前の質問のフォローアップです。

当初はOAuthを実装することが提案されていましたが、必要以上に複雑に見えたため、呼び出しごとにパスワードをHTTPS経由でプレーンテキストで送信し、デバイスに保存することを検討しました。

  1. アプリに保存する長いランダムな文字列を作成し、API側でもそれを要求することは可能でしょうか?これにより、他の人がAPIを使用できなくなるようです。これは良いことです。
  2. もしそうなら、そのトークンをユーザーのユーザー名とパスワードと一緒にHTTPS経由で送信するだけで安全ですか?
4

1 に答える 1

0

これを書いているときに、私はこの答えに出くわしました、そしてそれは許容できる解決策のように見えます:

  • すべての通話にHTTPSを使用する
  • 最初の呼び出しの後、後続の各呼び出しで送信されるauthTokenを送り返します
  • デバイスとサーバーでトークンを頻繁に期限切れにする
于 2013-03-10T13:41:16.947 に答える