Come proteggere la mia API REST quando l'utente si autentica con Google sul client mobile?

2
  • Nella mia applicazione, costruisco REST API s in modo che l'utente possa interagire con il mio server delle applicazioni.
  • Poiché non desidero mantenere User / Password, la mia app iOS autentica il client utilizzando Google. Succede tutto su iOS dispositivo

  • Una volta autenticato il client, invierò una chiamata al mio server delle app per recuperare i dati dell'utente. Il problema sta qui.

  • Ora l'utente è autenticato sul client mobile, ma sul server, non ho idea se la richiesta provenga da un utente valido o meno.

Domanda
Quali sono alcuni meccanismi consigliati per creare fiducia tra client mobile (autenticati con OAuth) e le mie API server

    
posta daydreamer 13.07.2014 - 22:34
fonte

1 risposta

2

Se intendi la "fiducia" nel senso delle comunicazioni, ti stai difendendo dagli attacchi man-in-the-middle e ciò significa utilizzare HTTPS. Per la fiducia dei bonus, utilizza il blocco dei certificati nell'app per dispositivi mobili.

Se intendi "attendibilità" nel "server vuole assicurarsi che il client sia autenticato", dovresti leggere di più su OAuth. Il corto è che

  • Il tuo utente effettuerà l'autenticazione con Google sul dispositivo mobile, acquisendo così una concessione di autorizzazione.
  • La tua app mobile comunicherà al tuo server che l'utente è stato autenticato e invia la concessione di autorizzazione.
  • Il server fornirà la concessione dell'autorizzazione a Google.
  • Infine, Google comunicherà al server se l'utente è autenticato o meno.

Dopodiché puoi rilasciare l'app per dispositivi mobili un token di sessione e procedere come al solito.

    
risposta data 29.11.2014 - 20:14
fonte

Leggi altre domande sui tag