Opracowuję rozwiązanie dla mojej firmy o następującej architekturze: Usługa sieci Web RESTfull zbudowana na django, która zapewnia warstwę uwierzytelniania i utrwalania zarówno aplikacja klienta WWW i aplikacja klienta mobilnego (która jest napisana przy użyciu phonegap).Uwierzytelnianie aplikacji WWW i mobilnej za pomocą usługi sieciowej RESTfull opartej na django
Szukaliśmy dużo w Internecie na temat metod uwierzytelniania po stronie klienta, zapewniając wsparcie dla aplikacji klienta internetowego i mobilnego, a także z tego, co znaleźliśmy (co jest bardzo słabe), myślimy o wygenerowaniu API klucz dla każdego użytkownika zalogowanego z aplikacji klienta mobilnego i zapisanie tego klucza API w lokalnej pamięci urządzenia; oraz, w kliencie internetowym, przy użyciu tradycyjnego zarządzania sesjami cookie, w tym toksem CSRF w żądaniach POST, PUT i DELETE.
Chcielibyśmy wiedzieć, jakie są najlepsze praktyki w zakresie metod uwierzytelniania i czy to podejście jest wystarczająco dobre? Czy istnieją inne metody radzenia sobie z uwierzytelnianiem? który z nich jest najlepszy?
Próbujemy unieważnić, używając oAuth, ponieważ zwiększa to złożoność naszego rozwoju.
Sprawdziliśmy już this question, ale jego odpowiedzi nie były dla nas zbyt pomocne, ponieważ używamy phonegapa i mamy wspomnianą architekturę.
Dzięki za pomoc!
takie podejście jest podobne do typu/przepływu granicznego poświadczeń klienta OAuth 2.0. –