Должен ли я проверять аутентификацию пользователя (имя пользователя, пароль, токен устройства) в webservice каждый раз, когда запускается мое мобильное приложение?

Question

Должен ли я проверять аутентификацию пользователя (имя пользователя, пароль, токен устройства) в webservice каждый раз при запуске моего мобильного приложения?

В настоящее время я разрабатываю приложение ios, которое потребует от пользователя входа в систему со своим именем пользователя и паролем (в первый раз при запуске приложения). После этого пользовательская информация будет сохранять в локальных данных приложения, и пользователю не нужно снова вводить имя пользователя и пароль.

Моя идея - проверить, является ли пользователь по-прежнему активным пользователем, вызывая веб-службу всякий раз, когда приложение запускается.

Мой вопрос в том, что необходимо проверять, когда приложение запускается.?

И есть ли шаблон дизайна для управления Идентом пользователя для IOS приложения.?

Answer 1

1. Как правило, вы не должны хранить имя пользователя и пароль локально, но если вы должны, а затем сохранить его в IOS брелка, а не в локальном приложении дб. (Если вы не знакомы с брелкой следовать this tutorial)

2. Чтобы быть в состоянии «не» сохранить имя пользователя и пароль в приложении, необходимо реализовать механизм аутентификации (например, OAuth 2: check this tutorial), который выполняет проверку подлинности с помощью веба просматривать и требовать от клиента использовать только разрешенный токен.

3. Чтобы обновить токен, вам нужно обновить токен api, который может проверить, действительно ли токен действителен, и если истек срок действия, вы можете попросить пользователя ввести учетные данные или использовать хранилище в цепочке ключей для автоматического обновления маркера.

Примечание: вы можете найти много больше таких учебников по https://www.raywenderlich.com и в других местах, если вы только Google это.

Примечание 2: Хотя OAuth 2 более сосредоточен вокруг предоставления доступа к «третьей стороне», это достаточно хорошая модель для обычного механизма аутентификации. Пожалуйста, воздержитесь от ненависти в комментариях, предлагая OAuth 2 для обычной проверки подлинности.