我的网站有一个登录功能,用户可以输入电子邮件和密码登录到自己的帐户。我现在需要在我的应用程序中引入同样的功能。
我已经设置了一个带有电子邮件和密码输入字段的视图。我感到困惑的是登录用户背后的逻辑
我正在使用改装来调用我的API。
我在网上找到了这个教程,但我不确定这是否能帮助我做我需要的事情:
https://futurestud.io/tutorials/android-basic-authentication-with-retrofit
我还找到了这个教程(用于令牌身份验证),所以现在我双重困惑,不知道这两个教程中的任何一个是否对我有帮助,或者它们是否用于其他用途:
https://futurestud.io/tutorials/retrofit-token-authentication-on-android
因此,我的问题是,使用Reform,我如何验证用户登录,以及在成功验证后,我如何使用用户ID(来自数据库)对API进行后续调用
使用基于令牌的身份验证。登录时,服务器会向您发送一个随机令牌,并将其存储在数据库中。你保存了那个随机令牌。在以后的所有呼叫中,您都会放弃该随机令牌。服务器在处理每个调用之前检查令牌。请记住使用HTTPS,以便在传输过程中对您的数据进行加密。
为什么这比存储用户名和密码更好?首先,您可以轻松地撤销令牌服务器端。其次,如果用户在多个网站上重复使用他的密码,那么他不仅泄露了一个帐户,还泄露了所有帐户。他带着一个代币,最坏的情况是破坏了这个账户。