我正在尝试使用apis的身份验证系统。但不像传统的方式,这将是没有电子邮件和密码没有电子邮件和密码的身份验证。
前端是一个Android应用程序。最初,应用程序在本地存储器中将具有空的auth_token,现在应用程序通过发送mobile_number,device_id和gcm_id从服务器请求身份验证令牌 。
现在服务器生成16 securerandom hex,
并将其作为身份验证令牌发送到前端。
现在前端必须使用此身份验证令牌调用所有apis。
服务器用户表会是这样
ID || mobile_number || device_id || gcm_id || AUTH_TOKEN
问题1:
我应该产生我的身份验证令牌基础上,MOBILE_NUMBER,设备ID还是可以独立生成?
问题2:
如果该身份验证令牌是否会改变?或者我可以为用户永久使用相同的身份验证令牌。如果要改变..可以请你指导我指出要使用的策略
问题3:
什么是这种认证的陷阱。我不希望用户输入电子邮件和密码,但同时希望识别用户进行个性化计算。
因此,如果用户的电话死亡,他们的帐户访问将永远丢失? – zerkms
就这么简单。 – gates