我的任務是設計一個系統,使我們的用戶也可以登錄他們的賬戶並使用他們的手機與我們的服務進行交互。雖然我擔心應用程序的安全性。移動到服務器API安全
基本上,我們允許用戶使用Facebook或Twitter通過OAuth登錄。移動應用程序(使用Appcelerator鈦製造)也應該這樣做。在電話上成功登錄後,我需要通知我的應用程序有人用FB或Twitter登錄,以便我的應用程序可以檢索用戶的特定於應用程序的用戶標識。
我的第一個想法是編寫一個手機可以調出的API,以便接受諸如Facebook或Twitter userId之類的參數。我會查詢我的數據庫,並找到他們的內部用戶ID並將其返回給手機。
這將工作正常,但它完全不安全。任何人都可以使用Facebook用戶標識訪問相同的API,並且API只會返回內部標識(以及應用程序需要的任何其他數據),而不知道請求是否經過授權。
這是我的第一個移動應用程序,所以我有點不確定在我的API上實現安全性的正確方法。
如何你有沒有解決它?我有完全相似的用例 – daydreamer 2014-07-13 20:08:34