モバイルデバイス用のPHPを使用したトークン認証

Question

私は自分のウェブサイトのモバイル版となるiPhoneアプリを書いています。

私はアプリがユーザーのデータを更新できるようにいくつかのREST APIを公開しようと考えています。

いつでもユーザーにログインさせたくありませんが、トークン/ Cookieを保存して今後のすべてのリクエストで再利用したいと思います。

ランダムトークンを設定してユーザーIDとともに渡すことはできますが、脱獄されたデバイスで簡単にアクセスできるため、あまり安全ではありません。 IPはおそらく頻繁に変更されるため、IPを使用して制限することはできません（モバイルデバイスなので）。

このような認証を実装するにはどのような方法が最適ですが、ユーザーは頻繁に認証を受けるようユーザーに迷惑をかけることはありません。

Answer 1

初期ログインの詳細を含むUDIDまたはMACアドレスをサーバーに送信します。このユーザ/ UDID（またはMac）の組み合わせに対して一意のトークンを作成し、ユーザ名/パスが成功した場合はデバイスに戻します（暗号化されたもの）。その後のアクセスでは、デバイスは再認証のために暗号化されたトークンとUDID/mac（セキュアな接続を介して）を送信します。

あなたはUDIDを追跡について安心して被害妄想の人を入れたい場合は、あなたの代わりに塩に暗号化されたトークンをUDID/MACを使用することができますが、これは文句を言わないように安全であるが、それでも仕事をする必要があります。