Jestem zainteresowany tym, jak najlepiej zrobić autoryzację użytkownika w aplikacji mobilnej. W tej chwili konfiguracja jest dość prosta. Przechowuję nazwę użytkownika i hasło w aplikacji i wysyłam ją do interfejsu API za każdym razem, gdy potrzebuję uruchomić ograniczone zapytanie.Jak wprowadzić uwierzytelnianie użytkownika do aplikacji mobilnej?
Uważam, że to chyba zły sposób, aby to osiągnąć.
Czy lepszym sposobem jest wysłanie nazwy użytkownika i hasła, gdy użytkownik się loguje, a następnie zapisuje identyfikator tego użytkownika? Problem polega na tym, że wtedy api akceptuje identyfikator użytkownika, a nie nazwę użytkownika i hasło. Identyfikator użytkownika będzie o wiele łatwiejszy do "odgadnięcia", a złośliwe osoby będą mogły przesłać zapytanie do api z losowo wybranymi identyfikatorami użytkownika wykonującymi działania na ich koncie. Mam klucz API. Czy to wystarczająco bezpieczne?
Problem polega na tym, że chcę rozpocząć integrację Twittera i Facebooka oauth z aplikacją. Nie czytałem dużo o tym, ale myślę, że dostaniesz "token". Jak to działa z konfiguracją, którą sugerujesz? Czy przyzwolenie na tworzenie tokena w mojej własnej bazie danych użytkowników i korzystanie z tokena (bez względu na to, czy jest to moje, facebooka czy twittera), byłoby korzystne jako autoryzacja? A może sensownym byłoby oddzielenie każdej usługi od siebie i radzenie sobie z nimi osobno?
Dziękuję.
OK, więc generowanie tokena jest drogą do zrobienia. Niegodziwy! :) Dzięki –