2
您好,我和朋友正在計劃承擔一個大型項目。我的兩個朋友正在構建iOS和Android應用程序,並且我將使服務器回到最後。我最近開始用RoR開發,並且愛上了Ruby。現在,這裏是我的問題:
多一點背景:
我只希望爲Android和iPhone應用程序專用的API。我不想完整的OAuth身份驗證過程。做一些研究,我想我會用基本的HTTP認證。使用導軌構建私有API
1.我的應用程序使用基於cookie的身份驗證,意味着cookie必須隨每個後續請求一起傳遞。那麼我的朋友是否需要存儲一個cookie,然後在每次向服務器發送請求時都會發送cookie?
2.我怎樣才能讓API保密?我知道在OAuth中有消費者密鑰和消費者密鑰。我知道是否有人可以簡單地找出他們將能夠訪問該API的URL模式。我如何保護我的後端免受未知用戶的請求? (應用程序自己的硬編碼字符串?,檢查設備類型的標題?)
3.我現在應該只生成API並且稍後擔心Web應用程序嗎?或者是否會太可怕地回過頭去建立一個網絡應用程序(儘管我真的希望網絡應用程序比移動應用程序更重要