我想討論如何保護您的API以便從移動應用程序中使用的最佳方式。Laravel針對移動應用程序的RESTful API身份驗證
由於沒有第三方,我猜OAuth不是一個好的選擇?
智威湯遜是不錯的選擇嗎?
我理解的難點在於如何進行身份驗證,以便我可以保護API中的數據,除非有人被授權調用它們。
我在服務器端使用Laravel 5.1,我想調用API的移動應用程序是Android應用程序。
我希望我不會忘記提及任何重要的信息。 任何形式的幫助將不勝感激。
看看 JSON Web Token Authentication for Laravel & Lumen
它提供的安全和保護數據和路線。
是的,我已經偶然發現了這個。這個想法是通過令牌來驗證通過令牌調用API的人嗎? 我有兩個問題: 1)數據應該是令牌的一部分還是僅用於驗證? 2)在實際進行身份驗證並將令牌傳遞給「調用者」的API調用中,您只需通過HTTPS或其他方式保護它(用戶名,密碼)? – csdinos
'智威湯遜既用於認證和數據保護。看看https:// stormpath.com/blog/jwt-the-right-way' –
考慮在客戶端證書授予中使用OAuth 2。
您可以使用您的客戶憑證申請訪問令牌。
使用OAuth 2服務器Laravel:
實現與客戶端憑證授權服務器准許以使用盧卡的包:
感謝您的回答。我有一個問題。考慮到用戶的**證書不應該存儲在android端**,訪問令牌的最佳**生存期**是什麼? – csdinos
@csdinos我認爲這取決於您的應用需求。應用程序每天都可以要求獲取令牌嗎?關於這個話題沒有很好的內容。我見過這樣的API:http://docs.apigee.com/api-services/content/oauth-20-client-credentials-grant-type#configuringflowsandpolicies-使用40天的壽命配置流量策略。 –
基本身份驗證可能是保護您的API最簡單的方法。 –
感謝您的回答。是否值得實施?我的意思是質量,因爲這是最簡單的方法。 – csdinos
@csdinos現在我有同樣的問題。我認爲jwt對於移動應用程序並不是很好,因爲令牌在一個小時後自動被服務器自動失效,用戶應該一次又一次登錄,對於web應用程序來說沒問題,但是在android中,多次顯示登錄頁面並不是一個好主意!我認爲只需一個登錄過程就足夠了手機應用程序!你怎麼看?你使用jwt在Android應用程序中驗證用戶嗎? –