2
您好,我和朋友正在计划承担一个大型项目。我的两个朋友正在构建iOS和Android应用程序,并且我将使服务器回到最后。我最近开始用RoR开发,并且爱上了Ruby。现在,这里是我的问题:
多一点背景:
我只希望为Android和iPhone应用程序专用的API。我不想完整的OAuth身份验证过程。做一些研究,我想我会用基本的HTTP认证。使用导轨构建私有API
1.我的应用程序使用基于cookie的身份验证,意味着cookie必须随每个后续请求一起传递。那么我的朋友是否需要存储一个cookie,然后在每次向服务器发送请求时都会发送cookie?
2.我怎样才能让API保密?我知道在OAuth中有消费者密钥和消费者密钥。我知道是否有人可以简单地找出他们将能够访问该API的URL模式。我如何保护我的后端免受未知用户的请求? (应用程序自己的硬编码字符串?,检查设备类型的标题?)
3.我现在应该只生成API并且稍后担心Web应用程序吗?或者是否会太可怕地回过头去建立一个网络应用程序(尽管我真的希望网络应用程序比移动应用程序更重要