大佬教程收集整理的这篇文章主要介绍了android – 如何管理来自调用Play2!-Scala REST服务的本地移动应用程序发送的用户请求的身份验证/授权,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
首先,对于Play2 / scala来说,似乎有很多认证模块:例如t2v’s Play20-auth.但事实是,这些解决方案基于在客户端上存储cookie.是对的吗 ?这在纯粹的Web透视图中是有意义的:请求是从浏览器发送的,服务器可以在客户端上存储cookie.
现在,如果我有一个本地的移动应用程序(在IOS或Android上),而且我只是打一个Play2!Scala应用程序支持的REST服务.在这种情况下,我没有使用浏览器,所以服务器不能在客户端应用程序上存储cookie.
我还可以使用像t2v’s Play20-auth这样的模块进行授权/认证吗?
处理这种事情的最佳做法是什么?
任何帮助真的将不胜感激,
提前致谢,
保护您的REST服务的主要思想是使用在服务器端签名的身份验证令牌,其中包含用户的某些标识符.
它会这样走:
>用户输入ID /密码
>一个休息方法检查这个,如果它是有效的,发送一个令牌回到手机.您将其存储在您的应用程序中
>每次打电话给您的休息API时,都会发送用户标识和令牌,并检查服务器上的令牌.
>令牌基本上是用户标识,与您自己的某些盐(您需要的任何密码)连接,然后使用您的服务器上的私钥进行签名.我个人使用HMAC-SHA256(在我的scala代码中使用javax.crypto).
如果有人尝试使用您的REST API,则他们将无法生成令牌,因为它们不知道您的私钥或秘密.
每当您收到REST API(3)的请求时,您只需重新计算哈希值并将其与作为令牌发送的哈希进行比较.
>而不是具有用户ID的HMAC,另一个解决方案是为每个用户在数据库中存储一个随机数.这将是你的令牌.
每次收到请求时,都会在数据库中检查该用户的秘密令牌,并查看它是否与查询中的相同.
这将创建无限令牌,因此您的用户将永远不会注销,您可以很容易地将这些解决方案的到期日期添加到这些解决方案中:
>如果使用HMAC,您将放入您的令牌(签名前)当前日期.例如,如果你想要一个24小时的会话,你可以做一些像:
val format = new SimpleDateFormat("d/M/yyyy"); isoFormat.setTimeZone(TimeZone.getTimeZone("UTC")); val date = format.format(new Date()); val token = calculateHMAC(userID + date + secret);
对于较短/较长的时间段,您可以将格式更改或多或少地更改,以便每次生成令牌以检查它时,都会在同一时间段内.
>对于随机数字/数据库解决方案,您只需存储创建随机标记的日期,您会看到它是否在您喜欢的期间.
如果您使用第三方的OpenID(或类似)标识,则必须向加载openID提供程序页面的用户显示WebView,您只需确保认证后的重定向页面包含生成的令牌隐藏在某个地方(例如在标题中),您可以使用应用程序代码进行解压缩.
这是很简单的实现自己,但我看到一个插件play2来处理令牌验证:
https://github.com/orefalo/play2-authenticitytoken(从未使用过)
一个是无国籍的:
https://github.com/blendlabs/play20-stateless-auth
对于登录位,你不必实现,有很好的模块在那里玩:
> https://github.com/joscha/play-authenticate
> https://github.com/jaliss/securesocial
以上是大佬教程为你收集整理的android – 如何管理来自调用Play2!-Scala REST服务的本地移动应用程序发送的用户请求的身份验证/授权全部内容,希望文章能够帮你解决android – 如何管理来自调用Play2!-Scala REST服务的本地移动应用程序发送的用户请求的身份验证/授权所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。