iPhone Webservice 身份验证和访问令牌

Posted 2023-03-08

【中文标题】iPhone Webservice 身份验证和访问令牌

【英文标题】：iPhone Webservice authentication and access token

【发布时间】：2014-03-12 02:50:26

【问题描述】：

我有一个 iPhone/android 原生应用。它使用 php Web 服务（RESTful）。如何为我的 Web 服务添加安全身份验证系统？有些人建议使用访问令牌。如何生成访问令牌以及如何管理它们？ 我的理解如下：

1) 在应用中，请求网络服务来验证用户名和密码。

2) 在 Web 服务中（在服务器上），创建一个唯一且安全的随机密钥，将其作为访问令牌存储在 mysql 数据库中，并将其返回给 Web 服务请求。

3) 在应用程序中，存储访问令牌并将其与安全的 Web 服务请求一起发送。

4) 安全网络服务在完成请求之前检查请求是否包含有效的访问令牌。

以上步骤是否正确？如果是，那么如何使访问令牌过期？我应该使用 cron 作业（计划任务）吗？请提出更好的方法。任何帮助将不胜感激。

【参考方案1】：

您的上述步骤有效。在这里你可以做些什么来使访问令牌过期：

当用户在应用程序中按下注销按钮时，注销按钮将调用 Web 服务来删除访问令牌 您可以将会话超时设置为 X 小时。 X 小时后在服务器上调用调度程序以删除开放访问令牌。 当相同的用户再次登录而不注销时更新访问令牌密钥。

【讨论】：

非常感谢您的即时回复