Аутентификация мобильного приложения на стороне сервера

Question

Я пишу приложение iphone, которое должно было бы связываться с нашими серверами. на стороне сервера, я пишу api в php, с которым будет разговаривать приложение. Каков наилучший способ аутентификации приложений и в основном ограничить доступ к приложениям и закрыть всех остальных?

Мне нужен способ распознавания того, что входящий запрос на api является законным запросом нашего api.

Какие еще проблемы безопасности я должен учитывать и рассчитывать?

любые предложения по дизайну?

В настоящее время я изучаю то, что может сделать для меня здесь!

Answer 1

Посмотрите на крупные компании? Google использует ключ API для всех своих общедоступных API, чтобы они могли отслеживать поведение и блокировать, если они ожидают злоупотребления.

Поскольку ваш API, вероятно, не является публичной вам, возможно, потребуется более высокий уровень безопасности, но тогда вы, вероятно, нужно шифровать все коммуникации: <

Answer 2

Я думаю, вам не нужно OAuth, потому что это только поможет вам, когда вам нужна аутентификация с участием трех сторон. Пример: ваша заявка аутентификация Fecebook пользователь (три стороны здесь: вы, пользователь Facebook и Facebook).

Я бы убедиться, что вы используете это:

1. HTTPS (не посылать пароль или конфиденциальные данные через обычный HTTP)
2. login.php скрипт, который будет проходить проверку подлинности вашего пользователя, и при действительной аутентификации будет генерировать access_token для вашего мобильного пользователя.
3. Каждый ограниченный сервис, предоставляемый PHP, будет запрашивать действительный access_token в качестве параметра для выполнения.
4. Удостоверьтесь, что ваш access_token истекает через определенное время или условия, которые вы могли бы установить.