Проверка подлинности токена с использованием PHP для мобильных устройств

Question

Я пишу приложение для iPhone, которое будет мобильной версией моего веб-сайта.

Я намереваюсь предоставить REST API, чтобы приложение могло обновлять данные пользователя.

Я неЯ хочу, чтобы пользователь каждый раз входил в систему, но я хочу сохранить свой токен / cookie и повторно использовать его для всех будущих запросов.

Я могу настроить случайный токен и передать его вместе с идентификатором пользователя, но он не оченьбезопасный, так как к нему легко получить доступ на взломанном устройстве.Я не могу ограничить его с помощью IP-адреса, поскольку IP-адрес, вероятно, будет часто меняться (поскольку это мобильное устройство).

Какой лучший способ реализовать такую ​​аутентификацию, которая будет достаточно безопасной, но не раздражает пользователяпопросив его часто аутентифицировать себя?

Answer 1

отправьте UDID или mac-адрес с начальными данными для входа на ваш сервер.создайте уникальный токен для этой комбинации пользователь / UDID (или mac) и отправьте его обратно (зашифрованный) на устройство, если имя пользователя / пароль прошло успешно.при последующем доступе устройство отправляет зашифрованный токен и UDID / mac (через безопасное соединение) для повторной аутентификации.

Если вы хотите, чтобы параноидальные люди чувствовали себя непринужденно относительно отслеживания UDID, вы могли бы вместо этого использовать UDID / mac, чтобы засолить зашифрованный токен, но это не будет таким же безопасным, но должно выполнять работу по-прежнему.