モバイル(iPhone)アプリケーションからアクセスする必要があるHTTPS
WebServiceがあります。どちらも私たちによって開発されています。Webサービスへのモバイルアプリアクセスの保護(自宅からのアプローチ)
このサービスへのモバイルアクセスを保護する必要があります。だから私たちはユーザー名/パスワードの資格情報を使用しました。
我々はOAuthを認識していますが、もっと簡単な認証方式が必要です。私たちが考える何
は以下の通りです:
モバイルのAppは、ユーザー/リソースの所有者にログインフォームが表示されます。
リソース所有者はモバイルアプリケーションの振る舞いにログイン資格情報を入力します。
モバイルアプリは、入力として-probably hashed-ユーザ名/パスワードを取得し、
HTTP Session Id
を返す特別WS法(例えば、「ValidateLogin」)でサーバに接続します。モバイルアプリは、サーバ側から一意のキーであり、安全であり-whichこの
HTTP Session Id
を持続する - ?後続の要求(ビジネスメソッドを呼び出す)ためサーバーと通信します。クライアントは30分と言うためにサーバーと通信しない場合は、サーバーは403/Session_time_outが(持続
HTTP Session Id
を削除することがモバイルは、彼はもはや持っていることを自分自身に示していないために送信されますサーバーリソースへのアクセス - そしてそれはサーバーとの通信を終了する必要がある場合には)場合にはそうするように、この場合にはを選ぶことができ、 モバイルはサーバーから新しいセッションIDを取得し、サーバーリソースへのアクセスを得るために再びリソース所有者を使用する必要があります。
質問は以下のとおりです。
- は、上記のステップが依存するのに十分な良いですしていますか?
- セキュリティの観点からはどう思いますか?
- 他の考え/意見はありますか?
EDIT
:それは問題とは本質的に非常にオープンである、と私はそれを念頭に置いて、特定のニーズにこれらの一般的な質問に答えることは困難であると信じているHTTPSのWebサービス
私はそれを実装するつもりだと思うhttp://code.google.com/p/smauth/ –