我正在尝试为我的移动应用程序(iOS & Android)和API(PHP)处理用户身份验证的最佳方式。什么是API令牌
从我所研究的选项是:
基本身份验证通过HTTPS - 用户为每个请求的检查用户名/密码。
会话 - 发送每个请求的会话ID;服务器保持状态。因此,应用程序发送用户名/密码和服务器检查后续请求中的登录用户,就像我的网站一样。
API令牌 - 移动应用程序发送用户名/密码并接收回令牌,然后将其附加到后续请求。令牌存储在数据库中并在每个请求中进行检查。
我猜我对API令牌的解释不正确,因为它们看起来与会话相同,因为我将会话ID存储在数据库中。
- 我可以解释API令牌的解释吗?他们是为了什么?它们与会话ID有什么不同?
- API令牌的优点是什么?
- oAuth(如果我们要简化它的使用)只是创建“API令牌”的协议?
能否详细说明“会话ID不是认证的形式,而是授权的结果”? – paul
更新了我的答案,总之 - 会话ID不是一种认证形式,API令牌是。 –
你是说API密钥只是识别来自我的应用的请求,与用户通过应用登录无关?因为从我读过的API中应该是无状态的,而不是使用会话。 – paul