Java 如何验证android应用程序的请求
我正在制作一个Android应用程序,它将从我的API获取数据 我的应用程序要做的第一件事就是让用户使用他们的凭据登录Java 如何验证android应用程序的请求,java,android,rest,retrofit,Java,Android,Rest,Retrofit,我正在制作一个Android应用程序,它将从我的API获取数据 我的应用程序要做的第一件事就是让用户使用他们的凭据登录 我的问题是我的API是否需要处理会话?或者我应该为每个请求对用户进行身份验证 本机android应用程序是否会在设备上保存用户凭据,并在登录后发送每个请求 我正在使用改装。在用户登录后,我将如何发送用户凭据 这将是深入研究OAuth的好时机。您的用例似乎非常匹配。您将需要两个主要步骤:身份验证和授权。我在这里简要地解释了它们:。您可以忽略DropWizard部分,REST概念
- 我的问题是我的API是否需要处理会话?或者我应该为每个请求对用户进行身份验证
- 本机android应用程序是否会在设备上保存用户凭据,并在登录后发送每个请求
- 我正在使用
。在用户登录后,我将如何发送用户凭据改装
- 这将是深入研究OAuth的好时机。您的用例似乎非常匹配。您将需要两个主要步骤:身份验证和授权。我在这里简要地解释了它们:。您可以忽略DropWizard部分,REST概念保持不变。简短的描述可能是这样的:用户在手机上安装你的应用程序。他们使用用户名和密码进行一次身份验证(通过SSL向您的REST发送请求)。您的服务对用户进行身份验证,并返回一个“刷新令牌”和一个“访问令牌”,当您与用户映射并保存服务端的访问令牌/刷新令牌时,应用程序保存在其一侧。对于每个后续请求,您的应用程序都将发送“访问令牌”,作为“身份验证”头的一部分,您在服务器端将解析并检查访问令牌是否仍然有效(假设访问令牌过期),以及它是否有效,然后完成授权/身份验证过程。如果访问令牌已过期,401将返回到您的应用程序。然后,应用程序将必须使用“刷新令牌”来获取新的访问令牌,并在使用新的访问令牌(当然,该令牌也会在服务器端映射到用户的身份)获得批准后,所有后续调用都将使用新的访问令牌,直到其过期。这是OAuth的一个简单版本,没有严格遵循规范。这是一个非常基本的身份验证/授权流程,可以帮助您开始。我希望这有帮助 这将是深入阅读OAuth的好时机。您的用例似乎非常匹配。您将需要两个主要步骤:身份验证和授权。我在这里简要地解释了它们:。您可以忽略DropWizard部分,REST概念保持不变。简短的描述可能是这样的:用户在手机上安装你的应用程序。他们使用用户名和密码进行一次身份验证(通过SSL向您的REST发送请求)。您的服务对用户进行身份验证,并返回一个“刷新令牌”和一个“访问令牌”,当您与用户映射并保存服务端的访问令牌/刷新令牌时,应用程序保存在其一侧。对于每个后续请求,您的应用程序都将发送“访问令牌”,作为“身份验证”头的一部分,您在服务器端将解析并检查访问令牌是否仍然有效(假设访问令牌过期),以及它是否有效,然后完成授权/身份验证过程。如果访问令牌已过期,401将返回到您的应用程序。然后,应用程序将必须使用“刷新令牌”来获取新的访问令牌,并在使用新的访问令牌(当然,该令牌也会在服务器端映射到用户的身份)获得批准后,所有后续调用都将使用新的访问令牌,直到其过期。这是OAuth的一个简单版本,没有严格遵循规范。这是一个非常基本的身份验证/授权流程,可以帮助您开始。我希望这有帮助