Piszę w PHP proste API dla aplikacji mobilnej i chciałbym się upewnić, że będzie to zgodne ze sztuką.
Moje wąplitiwości:
Jak wykonać pierwszą autoryzację gdy w aplikacji jest prosta para login + hasło?
Apka wysyła login, hasło i id urządzenia. Sprawdzam login i hasło, zwracam (JSON) token, który jest zapisywany po stronie serwera i w aplikacji.
Aplikacja wykonując zapytania do API przesyła już token powiedzmy chce pobrać jakieś dane:
example.com/api/get_data/TOKEN/arg1/arg2
Sprawdzam token (czy istnieje) jeżeli tak to do kogo jest przypisany i odpowiednio autoryzuje czy może wykonać metodę get_data.
Nie wiem czy sprawdzać też każdorazowo unikalne ID telefonu?
Czy hasło do serwa wysyłać normalnie i tworzyć hash po stronie backendu czy już z Androida wysłać hash hasła (nie wiem czy będzie się tak w ogóle dało)?
Czy schemat generalnie jest ok?
Pełna wersja: Autoryzacja za pomocą tokenu
A może coś jak to, co zostało zaimplementowane w OAuth 2.0? http://aaronparecki.com/articles/2012/07/2...ied#mobile-apps
Jeśli chodzi o bezpieczeństwo to OAuth 1.1, Wersja 2.0 jest mniej bezpieczna niż poprzedniewersje.
Owszem, jest o wiele mniej bezpieczna, ale też mniej upierdliwa 
I chyba dlatego w największych serwisach, typu FB czy Google, pomyślnie wyparła/wypiera starsze wersje OAuth.
I chyba dlatego w największych serwisach, typu FB czy Google, pomyślnie wyparła/wypiera starsze wersje OAuth.
Oauth jest niestety dla mnie zbyt mało klarowny na ten moment.. Wolałbym jakieś własne, proste rozwiązanie bo chyba nie ma w nim żadnych luk, które rozwiązuje oAuth.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.