使用 PHP 为移动设备进行令牌身份验证

Question

我正在编写一个 iPhone 应用程序作为我网站的移动版本。

我打算公开一些 REST API，以便应用程序可以更新用户的数据。

我不希望用户每次都登录，但我想保存他的令牌/cookie 并在以后的所有请求中重用它。

我可以设置一个随机令牌并将其与用户 ID 一起传递，但它不是很安全，因为在越狱设备上访问它很容易。我无法使用 IP 来限制它，因为 IP 可能会经常更改（因为它是移动设备）。

实现这种身份验证的最佳方法是什么，既足够安全，又不会要求用户经常对自己进行身份验证而惹恼用户？

Answer 1

将 UDID 或 MAC 地址以及初始登录详细信息发送到您的服务器。为此用户/UDID（或 mac）组合创建一个唯一的令牌，如果用户名/密码成功，则将其发送回（加密）到设备。在后续访问时，设备会发送加密令牌和 UDID/mac（通过安全连接）以进行重新身份验证。

如果你想让偏执的人放心地跟踪 UDID，你可以使用 UDID/mac 来加盐加密令牌，但这不会那么安全，但仍然可以完成工作。