Tôi xin lỗi nếu điều này có thể thông thường với một số người, nhưng tôi vẫn đang học. Tôi có ứng dụng iOS đồng bộ hóa tệp với máy chủ web. Khi người dùng đăng nhập trên thiết bị, anh ấy vẫn đăng nhập trừ khi anh ấy đăng xuất. Hiện tại, bất cứ khi nào người dùng khởi tạo yêu cầu máy chủ, chẳng hạn như thêm, cập nhật hoặc xóa tệp, tôi chỉ gửi email của người dùng chứ không phải mật khẩu cho máy chủ vì người dùng đã được xác thực trên thiết bị.Tôi có nên xác thực mật khẩu của người dùng cho mọi yêu cầu máy chủ không?
Tôi có nên gửi mật khẩu được lưu trữ của người dùng mỗi lần gửi yêu cầu và yêu cầu máy chủ xác thực mật khẩu trước khi tiếp tục yêu cầu không? Tại sao hay tại sao không?
Vì vậy, mỗi người dùng có một mã định danh phiên duy nhất, một lần được tạo? Đây có phải là loại ID duy nhất cho các yêu cầu máy chủ của họ không? Nó có thay đổi với mỗi yêu cầu hay nó là một định danh thời gian cuộc sống? Điều gì về một mật khẩu băm? Tôi có thể sử dụng nó để thay thế không? – Snowman
Bạn tạo một số nhận dạng phiên mới mỗi khi họ đăng nhập. Không chắc chắn bạn đang sử dụng máy chủ nào nhưng hầu hết sẽ tự động thực hiện việc này cho bạn. Điều quan trọng là nếu máy chủ tạo cookie id phiên * trước * người dùng đã đăng nhập và gửi cookie đó qua kênh không an toàn, bạn phải vô hiệu hóa phiên và tạo phiên mới khi đăng nhập. Tất cả các yêu cầu được xác thực phải được thực hiện qua HTTPS. – erickson
Vì vậy, ví dụ như ứng dụng Facebook iOS..a người dùng thường sẽ vẫn đăng nhập trong nhiều tháng. Họ sẽ làm như thế nào? Họ sẽ sử dụng cùng một ID phiên cho nhiều tháng mà người dùng đã đăng nhập? Họ có gửi email hoặc mật khẩu không? Làm thế nào để họ tra cứu người dùng? – Snowman