モバイルアプリケーション用のREST APIを保護するにはどうすればよいですか？

Question

モバイルクライアントのDjangoにRESTインタフェースを追加しようとしています。モバイルクライアントはHTTPS経由でJSONを使用します。私はモバイル機器でこれを達成するための「最良の」方法を見つけることができませんでした。検索すると、＃1は＃2よりも有利です。

1. HTTP認証を使用してCookieベースのセッションを確立します。すべてのトランザクションはHTTP経由で行われ、JSONメッセージにはコマンドまたはデータのみが含まれます。
2. すべてのトランザクションについて、各JSON msg内でユーザー名とパスワード（暗号化）を渡し、Cookieベースのセッションには依存しません。

Answer 1

ナンバー2が望ましいです。自分でロールするのではなく、できるだけOAuth認証を使用することをおすすめします。クライアントライブラリとサーバーライブラリは、ほとんどのプラットフォームですぐに使用できます。詳細については、http://oauth.netを参照してください。

Answer 2

OAuthは、これらのサービスを他の開発者（エンドユーザーの代わりにアクセスするユーザー）が利用できるようにしたい場合を除き、過剰な人です。オプション2を使用する方が良いですが、パスワード認証ではなくダイジェスト認証を使用することをお勧めします。それをSSLと組み合わせると、間違いなく良いことになります。

Answer 3

実際の暗号化を使用していて、base64や自国難読化アルゴリズムではない限り、＃2はうまくやっています。また、APIキーをユーザー名にバインドしている多くの企業のルートを考慮する必要があります。

Answer 4

ログインコールで最初にユーザー名とパスワードを送信することをお勧めします。 JSONはauthTokenまたはaccessTokenを返信し、モバイルデバイスはそれ以降のすべての呼び出しで返信します。次に、authTokenが有効であることを確認します。これは多くのAPIのアプローチです。データベースでは、ログインしたユーザーアカウントにAPIキーをバインドします。