1
我想知道从本地应用登录用户到我的网络服务的好方法。如何从本地应用安全地登录用户(最佳实践)?
我已经看到了执行soap请求的实现,然后它生成了一个在30天后过期的令牌对,它使用该令牌代表该用户进行api调用。登录用户并与api交互的最佳做法是什么?
我想知道从本地应用登录用户到我的网络服务的好方法。如何从本地应用安全地登录用户(最佳实践)?
我已经看到了执行soap请求的实现,然后它生成了一个在30天后过期的令牌对,它使用该令牌代表该用户进行api调用。登录用户并与api交互的最佳做法是什么?
不幸的是,对于世界上的每个应用程序,在每个平台和操作系统上,都没有普遍的答案。正确的答案取决于应用程序,它是如何工作的,以及它的要求。
在这方面有很多共同的主题;你提到了一个,例如时间限制认证。对于某些应用程序,在认证令牌过期之前30天是合理的时间;对于其他应用程序,更适当的时间限制将在几个小时而不是几天。
另外一个常见的实现方式是绑定到客户端IP地址或浏览器用户代理的身份验证令牌。对于您的应用程序来说,这是否是一个好主意,同样,只有您知道答案。
然后,您也有使用签名证书而不是身份验证令牌或质询/响应身份验证的实现。