6
我想为移动客户端添加一个REST接口到Django。移动客户端将通过HTTPS使用JSON。我一直无法找到用于移动设备的“最佳”方式。从四处搜索,似乎#2更有利于#1:如何保护移动应用程序的REST API?
- 使用HTTP身份验证并建立基于cookie的会话。所有事务都将通过HTTP进行,而JSON消息将仅包含命令或数据。
- 将每个JSON消息中的用户名和密码(加密的)传递给所有事务,并且不要依赖基于cookie的会话。
A
回答
1
数字2是更可取的,而不是推出自己的,我会建议使用OAuth身份验证,如果可能的话。客户端和服务器库现在都可以在大多数平台上使用。详情请查询http://oauth.net。
3
除非您希望将这些服务提供给其他开发人员(他们将代表您的最终用户访问),否则OAuth会过度使用。更好的选择2,但我会建议使用摘要式身份验证而不是密码身份验证。把它和SSL结合起来,你绝对会很好。
0
8
我建议首先用登录电话发送用户名/密码。 JSON将传回一个authToken或accessToken,移动设备将为其后的所有呼叫返回。然后您将检查以确保authToken有效。这是许多API所采用的方法。在他们的数据库中,他们将API密钥绑定到他们登录的用户帐户。
相关问题
- 1. 如何在移动应用程序和服务器之间保护REST API
- 2. 如何在AJAX应用程序中保护私有REST API
- 3. 使用spring安全保护android应用程序的rest API
- 4. 如何使用注册码保护移动应用程序?
- 5. 保护外部/第三方应用程序的REST API
- 6. 如何使用wso2 IS保护REST API?
- 7. 保护移动应用程序使用的API用户注册端点
- 8. 使用Token保护REST API
- 9. 如何在单页面应用程序和服务器之间保护REST api?
- 10. 用于角度应用程序和移动应用程序的API REST
- 11. 如何保护用于移动应用程序的消息系统(如RabbitMQ/MQTT)?
- 12. 保护移动应用程序免遭中间人攻击
- 13. 移动应用程序的REST API上的OAuth
- 14. Rest API中的CSRF保护
- 15. google +如何保护ios应用程序中嵌入的api-key?
- 16. 保护移动应用程序中的AES密钥
- 17. Rails设计应用程序为移动应用程序创建REST api
- 18. 如何保护HTML应用程序(HTA)?
- 19. 如何密码保护应用程序
- 20. 如何保护应用程序?
- 21. 我应该如何确保使用移动应用程序的API?
- 22. 如何从移动应用程序中保护对AWS Elasticsearch的访问
- 23. 移动应用程序/ Yii2 Rest api和Facebook登录
- 24. 如何在移动应用程序中使用magento rest api /或soap?
- 25. 保护Android应用程序活动
- 26. 保护一个REST API
- 27. 在Spring Boot Data Rest应用程序中保护JSON-PATCH路径
- 28. REST API + OAuth +移动流程
- 29. 保护用Play Framework开发的REST API
- 30. 保护移动设备的Web API
任何链接到设计这个问题的文档/模式? – QED 2012-02-29 23:07:44
我肯定会从上面提到的Oath.net网站的“入门”部分开始。它可以链接到今天可用的大部分OAuth信息。 – 2012-02-29 23:12:14
糟糕,我的意思是REST – QED 2012-02-29 23:44:50