Domande sull'autenticazione utente sull'API REST

1

Ora sto cercando di implementare l'autenticazione utente sulla mia app Android. Ho, tuttavia, alcune domande.

Uso un'API REST. Come posso richiedere e inviare in sicurezza i dati da e verso il telefono? Suppongo che dovrei crittografare la password dell'utente prima che venga inviata dal telefono al server.

Parti della mia app restituiscono dati JSON (dalla mia API) creati appositamente per quell'utente (in base alla loro identificazione). Dopo l'autenticazione, come posso richiedere i dati in base all'identificazione dell'utente?

Ho sentito altri menzionare qualcosa su un token (OAuth?). Questo token verrebbe salvato sia sul telefono che nel database del mio server? Il token sarebbe quindi incluso in ogni richiesta API e verificato con il database del server prima di restituire qualsiasi dato?

C'è qualcos'altro che dovrei sapere? Link ai tutorial? Sicurezza?

Grazie!

    
posta user5382818 28.09.2015 - 01:48
fonte

2 risposte

1

Puoi dare un'occhiata al token web JSON.

SSL è richiesto!

L'utente invia il suo nome utente e password per la prima volta.

Dopo la verifica, basta inviare un token al telefono che verrà utilizzato per verificare l'utente e l'autorizzazione per ogni richiesta.

I dettagli sono disponibili su link .

    
risposta data 28.09.2015 - 12:26
fonte
0

Prima di iniziare a implementare la tua piattaforma di autenticazione e gestione delle identità, potresti prendere in considerazione servizi alternativi (ad es. stormpath, mix di servizi IBM, pioggia di pioggia - nessuna affiliazione con nessuno di questi) per vedere se possono aiutarti a ridurre il lavoro necessario e assicurati di implementare queste funzionalità in modo sicuro.

Se pensi ancora di voler implementare la tua infrastruttura di autenticazione, ti suggerirei di farlo 1. Usa SSL / TLS - questo è il minimo requisito per garantire che qualsiasi comunicazione client / server sia crittografata. 2. Memorizza password salate e hash: assicurati che la password sia adeguatamente protetta sul lato server. 3. Autentica di base: puoi utilizzare il meccanismo Autenticazione di base per passare l'id utente / password al server.

Per ulteriori informazioni su cosa dovresti prendere in considerazione, consulta e leggi le istruzioni OWASP (in particolare Cheat Sheet di autenticazione ) .

    
risposta data 28.09.2015 - 08:06
fonte