我知道关于这个话题已经提出了多个问题,但没有一个真正回答了我的具体问题。
我的应用
我有一个基于 PHP 的 API,可以从我的 MySQL 数据库中检索和发布信息。我用它来检查登录,创建新帐户,还可以从数据库中检索简单数据。我的应用程序还没有在AppStore上,现在,我的API没有任何安全性:这是我做过的第一个API,我只专注于基础知识。现在结束了,我想添加一些安全性。我做了很多研究,oAuth 似乎太过分了,对于我在这里尝试做的事情来说太难了。我对 oAuth 话题感到困惑,关于 2 条腿或 3 条腿的 oAuth。
假设我希望保护这个简单的方案:1( 用户输入登录信息2( iOS 应用程序将凭据发送到基于 PHP 的 API 服务器3( API 检查数据库中的登录凭据是否正确4( API 返回(在 jSON 中(请求的结果5( 应用程序处理 jSON
这是电流。保护这一点的最简单方法是什么?oAuth 是否值得,或者我是否可以使用只有我的应用程序和我的 API 知道的私钥制作一个更简单的手工加密系统,并且我只需在 POST 中添加即可?
安全性的一般经验法则是使用久经考验的解决方案。因此,使用一些外部登录方法(如Facebook,Google,Twitter等(的oAuth是一个很好的方法。我想你会发现,这实际上比滚动自己的用户数据库、密码处理、身份验证等要少得多。
但是,如果您不热衷于这样做,那么很可能有完整的PHP框架来添加安全性,例如PHP-LOGIN。如果您坚持自己做,这里的答案可能会提供一些细节: 开发安全的PHP登录和身份验证策略,尽管我强烈建议您不要实施自己的安全解决方案,除非您是该领域的专家。