Autenticazione token tramite PHP per dispositivi mobili

Question

Sto scrivendo un'app per iPhone per essere la versione mobile del mio sito web.

Ho intenzione di esporre alcune API REST in modo che l'app possa aggiornare i dati dell'utente.

Non desidero che l'utente effettui il login ogni volta, ma voglio salvare il suo token/cookie e riutilizzarlo per tutte le richieste future.

Posso configurare un token casuale e passarlo insieme all'ID utente, ma non è molto sicuro poiché è facile accedervi su un dispositivo jailbroken. Non posso limitarlo usando un IP, poiché l'IP probabilmente cambierà frequentemente (dato che si tratta di un dispositivo mobile).

Qual è il modo migliore per implementare tale autenticazione che sarà abbastanza sicura ma non infastidirà l'utente chiedendogli di autenticarsi spesso?

Answer 1

invia l'UDID o l'indirizzo mac con i dettagli di accesso iniziali al server. creare un token univoco per questa combinazione utente/UDID (o mac) e inviarlo (crittografato) al dispositivo se nome utente/passaggio ha esito positivo. all'accesso successivo, il dispositivo invia il token crittografato e UDID/mac (su connessione protetta) per la nuova autenticazione.

se vuoi mettere le persone paranoiche a proprio agio nel tracciare l'UDID, puoi invece usare UDID/mac per salare il token crittografato, ma questo non sarà sicuro, ma dovrebbe fare ancora il lavoro.