Tengo la tarea de diseñar un sistema que permita a nuestros usuarios iniciar sesión en sus cuentas e interactuar con nuestro servicio utilizando sus teléfonos móviles. Sin embargo, me preocupa la seguridad de la aplicación.Seguridad API de móvil a servidor
Básicamente, permitimos que las personas inicien sesión a través de OAuth usando Facebook o Twitter. La aplicación móvil (construida con titanio Appcelerator) debería hacer eso también. Tras un inicio de sesión exitoso en el teléfono, debo notificar a mi aplicación que alguien inició sesión con FB o Twitter para que mi aplicación pueda recuperar el ID de usuario específico de la aplicación del usuario.
Mi primer pensamiento fue escribir una API que el teléfono podría llamar para aceptar parámetros como el userId de Facebook o Twitter. Preguntaría en mi base de datos y encontraría su identificación de usuario interna y la devolvería al teléfono.
Esto funcionaría bien, pero es completamente inseguro. Cualquiera podría golpear esa misma API con una identificación de usuario de Facebook y la API simplemente devolvería la ID interna (y cualquier otro dato que necesite la aplicación) sin saber si la solicitud está autorizada.
Esta es mi primera aplicación móvil, por lo que no estoy seguro de la forma correcta de implementar seguridad en mi API.
Cómo trabajaste con eso? Tengo el caso de uso exactamente similar – daydreamer