我正在构建与我的 iOS 应用程序一起使用的 REST API。我有一个小问题...
如何实现“资源所有者密码凭据授予”?我无法将客户端凭据存储在 iOS 应用程序代码中(不安全),因此我不知道如何保护 API。
所以基本上,我将使用基于 SSL 的 HTTP 基本身份验证,这将返回一个令牌。但是,这意味着任何人都可以从任何地方向我的 API 端点发出简单的发布请求,并获取 API 访问令牌。基本上我会有一个开放的 API。
你有什么推荐?
您实际上可以使用钥匙串来存储您需要的数据..它是完全安全的..但请不要在其中存储密码,这对您来说将是一个大问题:)
您可以按照您的建议使用用户的密码从 oAuth 请求 access_token 并将访问令牌存储到钥匙串中..它证明它对我来说是安全的。