我正在为Android / iOS开发混合移动应用程序,该应用程序主要使用访问令牌进行身份验证/授权将请求发送到宁静的服务器。
但是,不确定如何实现帐户创建部分,是否可以允许带有电子邮件地址/密码的POST请求注册用户?诸如此类的东西POST /signup(当然使用https,电子邮件验证等)。
还是有更好的选择?
本质上,这就是大多数移动应用程序上经典注册的工作方式。将电子邮件/密码发布到注册URL,并在响应中接收访问令牌。
如果您想花哨的话,可以加入一个秘密的应用程序令牌,以便可以对请求进行签名,并且服务器可以从理论上保证该请求来自您自己的应用程序,而不是其他任何人的应用程序。问题是客户端中的“秘密”并不是真正的秘密,任何人都可以访问编译后的代码和发出的请求。(例如,Twitter遇到此问题。)
还可以通过Twitter,Google,Facebook等进行单点登录。在这种情况下,您只需在用户在设备上进行身份验证后就可以上传访问令牌。某些应用程序还要求提供电话号码而不是电子邮件,然后通过SMS进行验证(如果应用程序可以读取SMS,则自动进行验证),例如WhatsApp。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句