के लिए लोग प्रमाणीकरण कैसे संभालते हैं मैं कुछ मोबाइल एप्लिकेशन बनाने की सोच रहा हूं। इसलिए, ये ऐप्स JSON के माध्यम से और REST के माध्यम से मेरे सर्वर पर 'बात' करेंगे (उदाहरण के लिए, पोस्ट, पोस्ट, आदि)।रीस्टफुल एपीआई (प्रौद्योगिकी अज्ञेयवादी)
यदि मैं यह सुनिश्चित करना चाहता हूं कि कोई क्लाइंट फ़ोन ऐप ऐसा करने की कोशिश कर रहा है जिसके लिए कुछ 'अनुमति' की आवश्यकता है, तो लोग इसे कैसे संभालेंगे?
उदाहरण के लिए: -> टीवी, कार के, कपड़े, आदि एपीआई लोग दुकान ब्राउज़ करें और वस्तुओं की खरीद करने की अनुमति देगा
हमारी वेबसाइट चीजें बेचता है। खरीदने के लिए, आपको 'लॉग इन' होने के लिए की आवश्यकता है। मुझे यह सुनिश्चित करने की ज़रूरत है कि वह व्यक्ति जो अपने मोबाइल फोन का उपयोग कर रहा है, वास्तव में उन्हें है।
यह कैसे किया जा सकता है?
मैंने देखा है कि ट्विटर अपने ओथ के साथ कैसे करता है .. और ऐसा लगता है कि उनके पास अनुरोध हेडर में कई मूल्य हैं? यदि ऐसा है (और मैं इस दृष्टिकोण को पसंद करता हूं), क्या यह संभव है कि मैं उपयोगकर्ता नाम/पासवर्ड (उदाहरण के लिए ट्विटर या फेसबुक ओएथ प्रदाता) स्टोर करने के लिए वेबसाइट के रूप में किसी अन्य तृतीय पक्ष का उपयोग कर सकूं .. और मैं जो कुछ करता हूं वह किसी भी तरह से पुनर्प्राप्त होता है कस्टम हेडर डेटा .. और सुनिश्चित करें कि यह मेरे डीबी में मौजूद है .. अन्यथा .. उन्हें अपने OAuth प्रदाता के साथ प्रमाणीकृत करने के लिए मिलता है?
या फिर कोई और तरीका है?
पीएस। मुझे वास्तव में एपीआई कुंजी रखने का विचार पसंद नहीं है - मुझे लगता है कि इसे किसी अन्य व्यक्ति को आसानी से सौंप दिया जा सकता है, जिसका उपयोग करने के लिए (जिसे हम जोखिम नहीं ले सकते)।
इस प्रश्न के कुछ महान जवाब यहां दिए गए हैं: http://stackoverflow.com/questions/5511589/securing-an-api-ssl-http-basic-authentication-vs-ignature, और http: // stackoverflow। com/प्रश्न/3358501/कैसे-चाहिए-ए-संभाल-प्रमाणीकरण में मेरी-आराम-api। – David