Я пытаюсь разработать лучший способ обработки пользовательской аутентификации для моего мобильного приложения (iOS & Android) и API (PHP).Что такое токен API
Из того, что я исследовал варианты:
Basic аутентификации через HTTPS - Проверьте имя пользователя/пароль пользователя для каждого запроса.
Сессии - отправить идентификатор сеанса с каждым запросом; сервер поддерживает состояние. Таким образом, приложение отправляет имя пользователя/пароль и серверные проверки для зарегистрированного пользователя при последующих запросах, как и мой сайт.
API-токены - Мобильное приложение отправляет имя пользователя/пароль и получает токен обратно, а затем добавляет его к последующим запросам. Токен хранится в БД и проверяется по каждому запросу.
Я предполагаю, что мое объяснение токенов API неверно, поскольку они кажутся идентичными сеансам, потому что я храню идентификаторы сеанса в БД.
- Могло бы объяснить мои объяснения токенов API. Для чего они? Как они отличаются от идентификаторов сеансов?
- В чем преимущества API-токенов?
- Является ли oAuth (если бы мы упрощали его использование) просто протокол для создания «токенов API»?
Не могли бы вы подробно остановиться на «Идентификатор сеанса не является формой аутентификации, а скорее результатом авторизации»? – paul
Обновлен мой ответ, вкратце - Идентификатор сеанса не является формой аутентификации, маркер API. –
Вы говорите, что ключ API просто идентифицирует запросы, поступающие из моего приложения, и не имеет никакого отношения к пользователю, входящему в систему через приложение? Потому что из того, что я прочитал, мой API должен быть апатридом и не использовать сеансы. – paul