क्या है मैं अपने मोबाइल एप्लिकेशन (आईओएस & एंड्रॉइड) और एपीआई (PHP) के लिए उपयोगकर्ता प्रमाणीकरण को संभालने का सबसे अच्छा तरीका काम करने का प्रयास कर रहा हूं।एपीआई टोकन
मैं क्या पर गौर किया है से विकल्प हैं:
मूल प्रमाणीकरण के ऊपर HTTPS - हर अनुरोध के लिए उपयोगकर्ता की जाँच करें उपयोगकर्ता नाम/पासवर्ड।
सत्र - प्रत्येक अनुरोध के साथ एक सत्र ID भेजें; सर्वर राज्य बनाए रखता है। तो ऐप बाद में अनुरोधों पर लॉग इन उपयोगकर्ता के लिए उपयोगकर्ता नाम/पासवर्ड और सर्वर चेक भेजता है, जैसे मेरी वेबसाइट करता है।
एपीआई टोकन - मोबाइल ऐप उपयोगकर्ता नाम/पासवर्ड भेजता है और एक टोकन वापस प्राप्त करता है, फिर इसे बाद के अनुरोधों में जोड़ता है। टोकन डीबी में संग्रहीत और प्रत्येक अनुरोध पर जांच की।
मुझे लगता है कि एपीआई टोकन की मेरी व्याख्या गलत है क्योंकि वे सत्रों के समान दिखते हैं क्योंकि मैं डीबी में सत्र आईडी संग्रहीत करता हूं।
- क्या एपीआई टोकन की मेरी व्याख्या को सही किया जा सकता है। यह किस लिए हैं? वे सत्र आईडी के लिए अलग कैसे हैं?
- एपीआई टोकन के क्या फायदे हैं?
- क्या ओएथ (अगर हम इसके उपयोग को सरल बनाना चाहते हैं) "एपीआई टोकन" बनाने के लिए सिर्फ एक प्रोटोकॉल है?
क्या आप विस्तृत कर सकते हैं "सत्र आईडी प्रमाणीकरण का एक रूप नहीं बल्कि प्राधिकरण का परिणाम है।" – paul
मेरा उत्तर अपडेट किया गया, संक्षेप में - सत्र आईडी प्रमाणीकरण का एक रूप नहीं है, एपीआई टोकन है। –
क्या आप एक एपीआई कुंजी कह रहे हैं बस मेरे ऐप से आने वाले अनुरोधों की पहचान करता है और ऐप के माध्यम से उपयोगकर्ता लॉग इन करने के लिए कुछ भी नहीं है? क्योंकि मैंने जो कुछ पढ़ा है, उससे मेरी एपीआई स्टेटलेस होनी चाहिए और सत्रों का उपयोग नहीं करना चाहिए। – paul