Nach meinen Recherchen Optionen sind:
Basisauthentifizierung über HTTPS – Überprüfen Sie den Benutzernamen/das Passwort des Benutzers bei jeder Anfrage.
Sitzungen – Senden Sie bei jeder Anfrage eine Sitzungs-ID; Der Server behält den Status bei. Die App sendet also bei nachfolgenden Anfragen Benutzername/Passwort und Serverprüfungen für einen angemeldeten Benutzer, genau wie meine Website.
API-Tokens – Mobile App sendet Benutzername/ Passwort und erhält ein Token zurück und hängt dieses dann an nachfolgende Anfragen an. Token werden in der Datenbank gespeichert und bei jeder Anfrage überprüft.
Ich vermute, dass meine Erklärung zu API-Tokens falsch ist, da sie mit Sitzungen identisch zu sein scheinen, weil ich Sitzungs-IDs in der Datenbank speichere.
- Könnte meine Erklärung zu API-Tokens korrigiert werden? Wozu dienen sie? Wie unterscheiden sie sich von Sitzungs-IDs?
- Was sind die Vorteile von API-Tokens?
- Ist oAuth (wenn wir seine Verwendung vereinfachen würden) einfach ein Protokoll zum Erstellen von „API-Tokens“?