¿Cómo asegurar mi API REST una vez que el usuario se autentica con Google en el cliente móvil?

Navega tus respuestas
2
  • En mi aplicación, compilo REST API s para que el usuario pueda interactuar con mi servidor de aplicaciones.

  • Como no quiero mantener el Usuario / Contraseñas, mi aplicación iOS autentica al cliente usando Google. Todo esto sucede en iOS dispositivo

  • Una vez que el cliente esté autenticado, llamaría a mi servidor de aplicaciones para obtener los datos del usuario. El problema radica aquí.

  • Ahora el usuario está autenticado en un cliente móvil, pero en el servidor, no tengo idea si la solicitud proviene de un usuario válido o no.

Pregunta
¿Cuáles son algunos de los mecanismos recomendados para generar confianza entre el cliente móvil (autenticado con OAuth) y las API de mi servidor?

    
pregunta daydreamer 13.07.2014 - 22:34
fuente

1 respuesta

2

Si te refieres a "confianza" en el sentido de las comunicaciones, te estás defendiendo contra los ataques de intermediarios, y eso significa usar HTTPS. Para obtener un bono de confianza, use la fijación de certificados en la aplicación móvil.

Si quiere decir "confianza" en el "servidor quiere asegurarse de que el cliente se haya autenticado" en sentido, debería leer más sobre OAuth. Lo que falta es que

  • Su usuario se autenticará con Google en el dispositivo móvil, obteniendo así una autorización de autorización.
  • Su aplicación móvil le dirá a su servidor que el usuario se ha autenticado y lo enviará junto con la autorización.
  • Su servidor otorgará la autorización a Google.
  • Finalmente, Google le dirá al servidor si el usuario se autenticó o no.

Después de eso, puedes emitir un token de sesión a la aplicación móvil y proceder como de costumbre.

    
respondido por el PlasmaSauna 29.11.2014 - 20:14
fuente

Lea otras preguntas en las etiquetas

(Android) pirateando el servidor con un simple socket Llamada de puerto utilizando solo Iptables / netfilter