大家好
目前我们的专案会需要提供api给android开发者,想问一下一些安全的设计:
目前专案会提供 JSON 或 XML 格式给开发者,
但我一直有一个想不通的问题,
就是这样 Hacker 如果知道这个api用法,那不就能无限次的try吗?
简单说,在web开发时,在进去一些页面时,可以使用session来避免掉无权限登入的问题
但在android call web api的设计下,大家是如何做安全性设计的呢?
目前想到的是: user登入后,由server给一组token,
每次存取某权限才能存取的api时,都要先确认token正确性
但是想到还要管理token,就越想越复杂
不知道大家是怎么实做的呢?
PS. 后端开发是使用 ASP.NET MVC, SERVER是使用Azure