是否有必要开发一个在服务器端控制会话令牌的iPhone本机应用程序？

大家好

我正在开发一个iPhone本机应用程序（其中包括webview），它可以与我的服务器端Web服务进行通信。
系统具有用户管理模块，用户可以登录/退出，更改自己的信息

通常情况下，如网站，出于安全考虑，必须有令牌或其他东西。
那么iPhone本机应用程序呢？因为我的Web服务只能从应用程序访问，所以我认为它足够安全，是否也需要以会话令牌的方式实现

---

谢谢，致以最诚挚的问候。

没有令牌，您将如何进行身份验证

我相信，当您输入用户/密码时，会将此身份验证对+设备id发送（使用SSL）到服务器，然后在身份验证成功的情况下，服务器会返回此设备id的会话令牌（会话可能不受时间限制，这取决于您）。登录名和令牌会保存在程序中的某个位置（例如，在默认键/值存储中）。密码不应保存在程序中的任何位置

当用户启动你的应用程序时，应用程序会向服务器发送登录名、令牌和设备id，服务器会检查并说“OK+会话密钥”或“NOK”。如果是“NOK”，你会从应用程序的存储中删除登录名和令牌，并再次显示登录表单。如果响应正常，你会发送HTTP请求+会话密钥，服务器会回复你。类似这样的情况

---

PS：我相信应该是这样的，但是我在网络方面没有太多经验。

HI，@OgreSwamp，谢谢你的回复。事实上，我只是使用uname和pwd来识别/验证每个用户。我可以在服务器端获得会话令牌，但我没有使用它，因为我认为它只能从我的应用程序访问。顺便说一下，我我正在考虑在它发布之前，我会将它改为SSL连接。谢谢。1）你每次都要求登录/密码吗？2） 您如何验证该用户是否与输入密码的用户相同？3） 什么会阻止我从浏览器向你的应用发送HTTP请求？您仅从应用程序提供对web服务的访问这一事实并不能防止任何攻击。1）A：一旦用户注销，他/她必须再次登录才能使用该应用程序；2） 答：我不验证同一个用户，因为他/她只知道pwd属于他/她自己。3） 答：我在服务器端做了一些事情，只能通过我的应用程序访问，而不能通过任何浏览器（包括iPhone内置的safari）访问。谢谢