我正在编写一个 iPhone 应用程序作为我网站的移动版本。
我打算公开一些 REST API,以便应用程序可以更新用户的数据。
我不希望用户每次都登录,但我想保存他的令牌/cookie 并在以后的所有请求中重用它。
我可以设置一个随机令牌并将其与用户 ID 一起传递,但它不是很安全,因为在越狱设备上访问它很容易。我无法使用 IP 来限制它,因为 IP 可能会经常更改(因为它是移动设备)。
实现这种身份验证的最佳方法是什么,既足够安全,又不会要求用户经常进行身份验证而惹恼用户?
将 UDID 或 MAC 地址以及初始登录详细信息发送到您的服务器。为此用户/UDID(或 mac)组合创建一个唯一的令牌,如果用户名/密码成功,则将其发送回(加密)到设备。在后续访问时,设备会发送加密令牌和 UDID/mac(通过安全连接)以进行重新身份验证。
如果你想让偏执的人放心地跟踪 UDID,你可以使用 UDID/mac 来加盐加密令牌,但这不会那么安全,但仍然可以完成工作。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)