Нужно ли разрабатывать приложение для iPhone с управлением токеном сеанса на стороне сервера?

Question

Привет , всем.

Я занимаюсь разработкой собственного приложения для iPhone (включая веб-просмотр в нем), которое могло бы взаимодействовать с моим серверным веб-сервисом.
Система имеет управление пользователямимодуль, в который пользователь может входить / выходить, изменять свою собственную информацию.

Приходите с обычными случаями, такими как веб-сайт, должен быть токен или что-то еще для соображений безопасности.
Тогда как насчет нативного приложения iPhone?Поскольку мой веб-сервис мог получать доступ только из приложения, так что я думаю, что он достаточно безопасен, необходимо ли также реализовать его в режиме токена сеанса?

Спасибо, С наилучшими пожеланиями.

Answer 1

Как вы собираетесь проводить идентификацию / аутентификацию без токена?

Я полагаю, что когда вы вводите имя пользователя и пароль, эта пара аутентификации + идентификатор_устройства отправляется на сервер (с использованием SSL), то в случае успешной аутентификации сервер возвращает токен сеанса (сеанс может быть неограниченным по времени, это зависит от вас) ) для этого device_id. Логин и токен сохраняются где-то в вашей программе (например, в хранилище ключей / значений по умолчанию). Пароль нигде не должен быть сохранен в программе.

Когда пользователь запускает ваше приложение, приложение отправляет на сервер данные Login, token и device_id, сервер проверяет и говорит OK + session_key или NOK. В случае NOK вы удаляете логин и токен из хранилища вашего приложения и снова отображаете форму авторизации. Если ответ был в порядке - вы отправляете HTTP-запросы + сеансовый ключ и сервер отвечает вам. Нечто подобное ...

PS: Я полагаю, что так и должно быть, однако я не очень разбираюсь в Интернете.