правильный способ аутентификации на стороне клиента и на стороне сервера с помощью токена?

java php android web-services restful-authentication

115 просмотра

1 ответ

У меня есть мультиплатформенный проект.

У этого есть веб-сторона и сторона андроида в этом. Что вы, ребята, предлагаете для проверки того, что клиент, с которым я общаюсь через веб-сервис, является моим клиентом для Android? Кто-нибудь имеет представление о том, как я должен аутентифицировать эти два?

Я думал о сохранении поля токена в userтаблице, где его содержимое представляет собой уникальный хэш, основанный на данных от клиента, который может быть распознан сервером. Однако я не знаю, какую информацию я мог бы использовать в качестве основы для хеширования.

Какую информацию о клиенте я должен использовать, чтобы создать хэшированное значение для использования в качестве токена аутентификации?

Если эта информация необходима, мой веб-сервис представляется клиентам в виде спокойного API и написан на PHP на стороне сервера.

Благодарю.

Автор: Shaheen Zahedi Источник Размещён: 08.11.2019 11:07

Ответы (1)


1 плюс

Решение

Клиент и сервер могут обмениваться данными друг с другом по протоколу SSL и настраивать сервер на получение сертификата клиента. См., Например, https://docs.oracle.com/cd/E19424-01/820-4811/aakhe/index.html для получения дополнительной информации об этом.

Это, однако, не защищает вас от злонамеренного хакера, который может извлечь сертификат из вашего клиента и добавить его в свое собственное приложение.

Автор: Guenther Размещён: 20.08.2016 04:48
Вопросы из категории :
32x32