我正在创建一个后端,该后端具有将从移动应用程序中使用的REST API。由于该应用程序仅限移动,我们不使用电子邮件和密码创建帐户/登录,而是使用电话号码,然后他们会收到一个带有短信的密码,以确认他们拥有该号码。
在我确认用户是他们所说的具有pin号的用户之后,我应该如何对未来的API请求进行身份验证?
我的第一个想法是创建一个令牌并将其返回到应用程序。我的第二个想法是使用OAuth,但后来我很困惑哪种方法可以与电话号码/SMS登录方法(2/3 leg、grants等)配合使用。我不完全理解在将OAuth与我们自己的应用程序(而不是与另一个提供商的OAuth)配合使用时这是如何工作的。代币似乎更容易。
如果我使用该令牌,那么在用户注销之前使用相同的令牌是否不好?(通过https)。我认为让它们的过期时间比平均用户会话长一点是值得的。
不幸的是,它似乎不是一个适用于电话号码的交钥匙解决方案。我正在使用Meteor,但我希望自己使用Node模块(通过在Meteor服务器上公开连接)。
非常感谢您的帮助!
您是否考虑过使用Twitter的Digits?它附带了他们的Fabric包,在我们上次开发应用程序时非常棒。它允许您通过twitter服务通过用户的电话号码注册和验证用户。该软件包安装起来非常简单,除了服务器端令牌验证之外,还可以避免很多麻烦。
数字文档
对于登录的服务器端验证:
数字:如何在自己的服务器上验证DGTSession令牌?