移动 APP 端与服务器端用户身份认证的安全方案
公司的
mobile app
是外包给其他公司做的,所以现在他们需要我们提供
API
接口进行调试,由于没有
API
开发的经验,所以现在一个比较难把握的问题就是如何实现服务器端与移动
APP
端通信时的用户身份认证问题。
搜集了一些资料,大部分的建议是在服务器端生成一个
token
然后在通信报文的
headers
利用这个
token
来进行验证。
这里有两个问题,首先这样直接生成
token
进行认证的安全性。其次,生成的
token
应该怎么保存呢?存在
DB
里面还是哪个地方?(服务器端使用的是
php
)
因为本身产品对安全性要求不是特别高,远没有达到网银之类的需求,所以在不考虑使用
oauth
等授权协议基础上,我比较希望知道一些常用的身份验证机制,以保证基本的安全性即可。
再把问题写清楚点:
1.怎么生成安全性比较高的
token
。
2.
token
需不需要设置过期时间(考虑到是
mobile app
,所以这个比较难设计,因为很少
有人会在
app
上会
log out
再重新登录)。
3.
token
除了存在
db
内,有没有一些更方便合适的方式。
微笑的迪妮纱
11 years, 7 months ago