对服务器的后续应用程序请求进行身份验证

Question

我面临的问题是您如何对用户进行身份验证，并将后续用户请求作为有效或无效请求发送到服务器？

这是第一次，而注册的用户将输入他的电子邮件和密码将被保存在服务器

现在，从现在开始，有两种不同的情况：

• 用户重新安装应用程序

  • 现在他不会注册，只能通过输入他以前提供的电子邮件密码重新登录，并且将被验证如果凭证是正确的，则表明true状态将会以用户ID发回。

• 身份验证后续请求（通常应用功能）： 现在与他通过它来进行身份验证和 事情已经伴随该请求的数据被发送到识别用户应用的每个请求，有什么那会是？

  • 用户名密码&：

  • 不能发送用户名，密码，因为我不会有因安全问题保存在设备中的密码。

  • [GUID]，当他

  • 登录发出令牌会在哪里我保存设备令牌？ SharedPreferences？
  • 解码存储在SharedPreferences中的应用程序和就绪数据是不可能的？

  • 理想情况下应该是什么令牌过期日期？

  • 有人告诉我，在执行此操作时我还需要使用devieId？但我不知道如何以及在哪里。而且我发现DeviceId在姜饼发布之前不是唯一的。

这是每一个应用程序必须面对并在这种情况下工作的一个很基本的东西，所以是不是有一个标准的，事实上的模式或这样的正式书面框架？你们都实施了自己的方式吗？

理想情况下，我正在寻找类似The definitive guide to form based website authentication的移动设备。

Answer 1

1）是的，你可以保存在SharedPreferences密码

2）确保SharedPreferences ==模式应该是私有

http://developer.android.com/reference/android/content/Context.html#getSharedPreferences%28java.lang.String,%20int%29

3）关于令牌到期日这取决于你的思想观点和应用程序需要。您可以按照与共享首选项相同的方式维护密码