Tôi đang cố gắng tìm ra cách tốt nhất để xử lý xác thực người dùng cho ứng dụng di động của tôi (iOS & Android) và API (PHP).Mã thông báo API là gì
Từ những gì tôi đã nghiên cứu các tùy chọn bao gồm:
Basic auth qua HTTPS - Kiểm tra tên người dùng/mật khẩu của người sử dụng cho mọi yêu cầu.
Phiên - Gửi ID phiên với mỗi yêu cầu; máy chủ duy trì trạng thái. Vì vậy, ứng dụng gửi tên người dùng/mật khẩu và kiểm tra máy chủ cho người dùng đã đăng nhập trên các yêu cầu tiếp theo, giống như trang web của tôi.
Mã thông báo API - Ứng dụng dành cho thiết bị di động gửi tên người dùng/mật khẩu và nhận lại mã thông báo, sau đó nối nó vào các yêu cầu tiếp theo. Mã thông báo được lưu trữ trong DB và được kiểm tra theo từng yêu cầu.
Tôi đoán lời giải thích của tôi về mã thông báo API không chính xác vì chúng dường như giống với phiên vì tôi lưu trữ ID phiên trong DB.
- Tôi có thể sửa giải thích về mã thông báo API không. Chúng là gì? Chúng khác với ID phiên làm việc như thế nào?
- Các ưu điểm của mã thông báo API là gì?
- Là oAuth (nếu chúng tôi đơn giản hóa việc sử dụng nó) chỉ là một giao thức để tạo "mã thông báo API"?
Bạn có thể xây dựng trên "Id phiên không phải là một hình thức xác thực mà là kết quả của ủy quyền".? – paul
Cập nhật câu trả lời của tôi, trong ngắn hạn - Id phiên không phải là một hình thức xác thực, mã thông báo API là. –
Bạn đang nói một khóa API chỉ xác định các yêu cầu đến từ ứng dụng của tôi và không liên quan gì đến việc người dùng đăng nhập qua ứng dụng? Bởi vì từ những gì tôi đã đọc API của tôi nên là không trạng thái và không sử dụng phiên. – paul