Preguntas sobre la autenticación del usuario a través de la API REST

1

Ahora estoy tratando de implementar la autenticación de usuario en mi aplicación de Android. Sin embargo, tengo algunas preguntas.

Yo uso una API REST. ¿Cómo solicito y envío datos de manera segura al teléfono? Supongo que debo cifrar la contraseña del usuario antes de que se envíe desde el teléfono al servidor.

Las partes de mi aplicación devuelven datos JSON (de mi API) que se crean específicamente para ese usuario (según su identificación). Después de la autenticación, ¿cómo puedo solicitar datos según la identificación del usuario?

He escuchado que otros mencionan algo sobre un token (OAuth?). ¿Se guardaría este token tanto en el teléfono como en la base de datos de mi servidor? ¿Se incluiría el token en cada solicitud de API y se verificará con la base de datos del servidor antes de devolver cualquier información?

¿Hay algo más que deba saber? Enlaces a tutoriales? ¿Seguridad?

¡Gracias!

    
pregunta user5382818 28.09.2015 - 01:48
fuente

2 respuestas

1

Puedes echar un vistazo al token web JSON.

Se requiere SSL!

El usuario envía su nombre de usuario y contraseña la primera vez.

Después de la verificación, solo envías un token al teléfono que se usará para verificar el usuario y el permiso en cada solicitud.

Los detalles están disponibles en enlace .

    
respondido por el wHaT 28.09.2015 - 12:26
fuente
0

Antes de comenzar a implementar su propia plataforma de administración de identidad y autenticación, es posible que desee considerar servicios alternativos (por ejemplo, stormpath, IBM service mix, jan rain, sin afiliación con ninguno de ellos) para ver si pueden ayudarlo a reducir la trabaje necesario y asegúrese de implementar estas características de forma segura.

Si aún cree que desea desplegar su propia infraestructura de autenticación, sugeriría que 1. Utilice SSL / TLS: este es un requisito mínimo para garantizar que cualquier comunicación cliente / servidor esté cifrada. 2. Almacene contraseñas con sal y hash: asegúrese de que las contraseñas estén protegidas adecuadamente en el lado del servidor. 3. Autenticación básica: puede utilizar el mecanismo Autenticación básica para pasar el ID de usuario / contraseña al servidor.

Consulte y lea la guía de OWASP (más específicamente hoja de referencia de autenticación ) para obtener más detalles sobre lo que debe considerar .

    
respondido por el jhash 28.09.2015 - 08:06
fuente

Lea otras preguntas en las etiquetas