Autenticación de token utilizando PHP para dispositivos móviles

Question

Estoy escribiendo una aplicación de iPhone para ser la versión móvil de mi sitio web.

Tengo la intención de exponer algunas API REST para que la aplicación pueda actualizar los datos del usuario.

No deseo que el usuario inicie sesión cada vez, pero quiero guardar su token/cookie y reutilizarlo para todas las solicitudes futuras.

Puedo configurar un token aleatorio y pasarlo junto con el ID de usuario, pero no es muy seguro ya que es fácil acceder a él en un dispositivo con jailbreak. No puedo restringirlo usando una IP, ya que la IP probablemente cambie con frecuencia (ya que es un dispositivo móvil).

¿Cuál es la mejor manera de implementar una autenticación que sea lo suficientemente segura pero que no molestará al usuario pidiéndole que se autentique con frecuencia?

Answer 1

envíe la dirección UDID o mac con los detalles de inicio de sesión a su servidor. cree un token único para esta combinación de usuario/UDID (o mac) y envíelo de vuelta (encriptado) al dispositivo si el nombre de usuario/pase es exitoso. en el acceso posterior, el dispositivo envía el token cifrado y UDID/mac (a través de una conexión segura) para volver a autenticarse.

si desea tranquilizar a las personas paranoicas sobre el seguimiento de UDID, podría utilizar el UDID/mac para eliminar el token cifrado, pero esto no será tan seguro, pero debería hacer el trabajo aún.