Создать токен доступа для Android от PHP

Question

Я бы защищал учетные записи пользователей токенами в моем приложении для Android. Это приложение использует PHP REST API для получения данных.

Для создания безопасных токенов я использую:

$secret="MySecretKey";
$token=bin2hex(random_bytes(64));
$hashtoken=hash_hmac("sha-256",$token,$secret);

Теперь я должен отправить $hashtoken в качестве токена для приложения Android? Или мне нужно сохранить хешированный токен в моей базе данных и отправить шестнадцатеричный токен?

Достаточно ли безопасен этот метод, если у меня не истекают токены? Спасибо за помощь.

Answer 1

Во время входа вы генерируете токен доступа в конце сервера и сохраняете его в базе данных в соответствии с идентификатором пользователя. После этого отправьте этот токен в приложение. Когда API будет вызывать с устройства Android, этот токен должен быть отправлен Android в разделе заголовка. Каждый раз, когда сервер будет соответствовать токен доступа действителен или нет.