移动 APP 端与服务器端用户身份认证的安全方案
最近要做一个项目是java开发后端服务,然后移动APP调用。由于之前没有接触过这块,所以在网上搜索相关的方案。然后搜到下面的一些方案做一些参考。
公司的 mobile app 是外包给其他公司做的,所以现在他们需要我们提供 API 接口进行调试,由于没有 API 开发的经验,所以现在一个比较难把握的问题就是如何实现服务器端与移动 APP 端通信时的用户身份认证问题。 搜集了一些资料,大部分的建议是在服务器端生成一个 token 然后在通信报文的 headers 利用这个 token 来进行验证。 这里有两个问题,首先这样直接生成 token 进行认证的安全性。其次,生成的 token 应该怎么保存呢?存在 DB 里面还是哪个地方?(服务器端使用的是 php) 因为本身产品对安全性要求不是特别高,远没有达到网银之类的需求,所以在不考虑使用 oauth 等授权协议基础上,我比较希望知道一些常用的身份验证机制,以保证基本的安全性即可。 再把问题写清楚点: 1.怎么生成安全性比较高的 token。 2.token 需不需要设置过期时间(考虑到是 mobile app,所以这个比较难设计,因为很少 有人会在 app 上会 log out 再重新登录)。 3.token 除了存在 db 内,有没有一些更方便合适的方式。