Нужно ли использовать сеансы PHP в моем приложении для Android?

Question

Я создал приложение для Android, которое взаимодействует с веб-сервером PHP.Они оба посылают JSON друг другу.Мое приложение почти завершено, однако остается сделать только одно: аутентификация.

Поскольку имя пользователя и пароль пользователя будут храниться в Android SharedPreferences, есть ли необходимость использовать сеансы PHP, учитывая, что пользователь выигралне нужно вводить имя пользователя / пароль при каждом запросе?

Поскольку я могу просто отправлять имя пользователя и пароль в заголовке HTTP POST для каждого запроса, и что я буду использовать SSL, достаточно ли этого?Я думаю, я мог бы добавить дополнительное поле в заголовок, называемое «random», которое просто добавляет случайное значение, просто для использования в качестве соли, так что зашифрованная полезная нагрузка SSL будет отличаться каждый раз.

Причина, по которой яЯ не хочу использовать сеансы, так как моему Android-приложению придется либо обрабатывать файлы cookie, либо управлять хранением идентификатора сеанса.

Если есть некоторые серьезные недостатки использования моего метода выше, тогда яболее чем счастлив использовать сеансы.

Answer 1

Лично я против отправки имени пользователя и пароля в запросе каждый раз.Одна вещь, которую вы могли бы сделать, это сгенерировать уникальный идентификатор при входе в систему и сохранить его в базе данных на вашем сервере, а затем просто передать его вместо имени пользователя и пароля.

Answer 2

Я думаю, что Google много думал об этом, поэтому делать что-то похожее на то, что они делают, не будет плохой идеей.Если вы посмотрите на то, как они выполняют

• процесс входа в систему, т.е. https://accounts.google.com/o/oauth2/auth

и особенно их

• обновление токена, т.е.https://accounts.google.com/o/oauth2/token

это может показаться излишним, но вы можете прийти с некоторыми идеями, которые могут быть полезны для вашей собственной реализации.

РЕДАКТИРОВАТЬ: упс, почти забыл ссылку на документацию: https://developers.google.com/accounts/docs/OAuth2

Answer 3

Очень плохая практика - отправлять учетные данные в каждом запросе. Я думаю, что лучший способ использовать API Google OAuth2 - это ОЧЕНЬ , простой и безопасный, чем база данных локальных учетных записей. Рассматривали ли вы этот вариант?

Answer 4

Я верю, что с тобой все будет хорошо. Пока вы уверены, что информация пользователя надежно передана. Соль это хорошая идея. Это на самом деле зависит только от того, насколько вы этого хотите.