モバイルアプリケーションからのトークンベースの認証

Question

JSON Webトークンを使用したトークンベースの認証について学習しています。スウィフト： "patrickbateman"、 パスワード： "ismyknifesharp"、 役割： "定期的に"、

1. 私は

   { ユーザ名と同様に、ユーザの入力を使用して、アプリ内のオブジェクトを作成することができます。 .. }

2. 次に、libraryでJWTトークンを生成することができます。

3. 次に、/api/contacts/listのようなサポートされているAPIエンドポイントに送信します。または、認証のためにログイン/パスワードを送信する必要がありますか？
4. サーバーは何とかトークンの正しさをチェックします。しかしどうですか？このサーバー生成のトークンをデータベースに保存し、キーとして使用する必要がありますか？または、クライアントから要求を受け取り、それをクライアントトークンと比較するたびに、サーバー上にトークンを生成する必要がありますか？
5. 必要なデータをすべて取得して管理します。私は、ユーザーを認証するために、サーバへのログイン/パスワードのペアを送信する必要はありません
   1. ：ここ

が私の結論です。
6. 私は認証専用データを取得する必要があるたびにトークンを送信する必要があります。
7. トークンを期限切れにするために、時間が経過するなどの要因によって生成されたトークンが変更されるアルゴリズムを実装する必要があります。
8. ヘッダー内にトークンを送信する必要がありますが、必ずしもそうではありません。これはJSON要求の本文内で行うことができるためです。

これらの結論は正しいですか？クライアントが送信するトークンをチェックする方法は何ですか？

Answer 1

私の意見は：

1. 私たちは、クライアント上のユーザーのパスワードを維持するべきではありません。クライアントはサインアップ/サインイン時にサーバーにパスワードを投稿し、クライアントのどこにでも保存しないでください。リクエストはhttpsで、パスワードは暗号化しないでください。パスワードは後でサーバー側で暗号化します。

2. ユーザーログインに成功すると、サーバーはこのユーザーに対してtokenを生成します。 tokenには有効期限の日付が入ります。トークンを使用してサーバーとのアクセス許可を認証します。

3. 私はAPIへのすべてのリクエストが、サインアップ/サインイン/フォワードパスワードリクエストを除いてトークンを提供する必要があると思います。

4. トークンは要求のヘッダーの内側に配置する必要があります。

5. サーバーは、クライアントの要求古いトークン（多分期限切れのこと）

そして、「どのようにサーバーがクライアントからのトークンをチェックする？」の答えと新しいトークン許可する必要があります。それを行うには多くの方法があります。以下は現在の私のアプローチです：

サーバ側では、トークンが生成されます。トークンは、user info（トークンの期限切れ時刻、userid、ユーザーのロールなど）の暗号化された文字列であり、パスワードはサーバー上にのみ保持されますHMACまたはRSAアルゴリズムを使用します。ユーザーがtokenを送信すると、サーバーは解読し、user info、データベースからの照会なしで期限切れの時間を取得できます。

とにかく、この質問はSwiftタグとは関係ありません。