0
這可能是重複的,因爲在SO上有很多類似的問題,但我還沒有找到我的任何其他問題的答案..如何驗證和記住本地應用程序(Anroid/iOS)中的用戶?
我有一個Android/iOS客戶端應用程序和一個服務器,提供資源到客戶端應用程序。客戶端通過REST API與服務器通信。 Android/iOS應用程序需要登錄用戶才能工作。
我的(如意)場景是:
用戶首次打開Android應用程序。 用戶輸入他的憑據(用戶名,密碼)。 應用程序檢查服務器的憑據,如果一切正常用戶進入應用程序,應用程序現在具有獲取用戶資源和發送更新到/從服務器等的所有權限。 用戶不需要再次重新輸入他的憑據(或至少不是很長時間)。
我該如何確保此場景的安全?
我調查的OAuth 2.0和其他基於令牌的認證方法/協議,有一些事情我不明白:
如果Android客戶端不考慮存儲任何祕密安全的地方 - 我怎能任何令牌(訪問或刷新)很長一段時間沒有用戶被迫重新輸入憑據?