私はapisの認証システムを持っています。しかし、伝統的な方法とは異なり、これはメールとパスワードのないになります電子メールとパスワードのない認証。
フロントエンドはアンドロイドアプリです。最初に、アプリはローカルストレージに空のauth_tokenを持ちますが、アプリはの認証トークンをサーバーから要求し、mobile_number、device_id、およびgcm_idを送信します。
サーバは16 securerandom hex,
を生成し、これを認証トークンとしてフロントエンドに送信します。
フロントエンドは、この認証トークンを使用してすべてのapisを呼び出す必要があります。
サーバユーザテーブルは次のようになります
id || mobile_number || device_id || gcm_id || auth_token
質問1:
は私がMOBILE_NUMBER、デバイスIDに基づいて、私の認証トークンを生成する必要がありますか、それが独立して生成することができますか?
質問2:
は、認証トークンが変更されるべきか?または、ユーザーに対して同じ認証トークンを永続的に使用できますか。認証のこの種の落とし穴は何
:それは変更する必要がある場合..あなたは
質問3を使用する戦略を指摘で私を案内してくださいすることができます。ユーザーに電子メールとパスワードを入力させるのではなく、パーソナライゼーション計算のためにユーザーを特定したいと思っています。
したがって、ユーザーの電話が切れた場合、アカウントへのアクセスは永久に失われますか? – zerkms
そう簡単です。 – gates