我想了解更多关于移动设备发送的请求如何通过Play2!Scala支持的REST服务进行身份验证/授权.
首先,对于Play2 / scala来说,似乎有很多认证模块:例如t2v’s Play20-auth.但事实是,这些解决方案基于在客户端上存储cookie.是对的吗 ?这在纯粹的Web透视图中是有意义的:请求是从浏览器发送的,服务器可以在客户端上存储cookie.
现在,如果我有一个本地的移动应用程序(在IOS或Android上),而且我只是打一个Play2!Scala应用程序支持的REST服务.在这种情况下,我没有使用浏览器,所以服务器不能在客户端应用程序上存储cookie.
我还可以使用像t2v’s Play20-auth这样的模块进行授权/认证吗?
处理这种事情的最佳做法是什么?
任何帮助真的将不胜感激,
提前致谢,
解决方法
问题是如何存储用户的身份验证.
保护您的REST服务的主要思想是使用在服务器端签名的身份验证令牌,其中包含用户的某些标识符.
它会这样走:
>用户输入ID /密码
>一个休息方法检查这个,如果它是有效的,发送一个令牌回到手机.您将其存储在您的应用程序中
>每次打电话给您的休息API时,都会发送用户标识和令牌,并检查服务器上的令牌.
您有两个生成和检查令牌的解决方案:
>令牌基本上是用户标识,与您自己的某些盐(您需要的任何密码)连接,然后使用您的服务器上的私钥进行签名.我个人使用HMAC-SHA256(在我的scala代码中使用javax.crypto).
如果有人尝试使用您的REST API,则他们将无法生成令牌,因为它们不知道您的私钥或秘密.
每当您收到REST API(3)的请求时,您只需重新计算哈希值并将其与作为令牌发送的哈希进行比较.
>而不是具有用户ID的HMAC,另一个解决方案是为每个用户在数据库中存储一个随机数.这将是你的令牌.
每次收到请求时,都会在数据库中检查该用户的秘密令牌,并查看它是否与查询中的相同.
这将创建无限令牌,因此您的用户将永远不会注销,您可以很容易地将这些解决方案的到期日期添加到这些解决方案中:
>如果使用HMAC,您将放入您的令牌(签名前)当前日期.例如,如果你想要一个24小时的会话,你可以做一些像:
val format = new SimpleDateFormat("d/M/yyyy");
isoFormat.setTimeZone(TimeZone.getTimeZone("UTC"));
val date = format.format(new Date());
val token = calculateHMAC(userID + date + secret);
对于较短/较长的时间段,您可以将格式更改或多或少地更改,以便每次生成令牌以检查它时,都会在同一时间段内.
>对于随机数字/数据库解决方案,您只需存储创建随机标记的日期,您会看到它是否在您喜欢的期间.
如果您使用第三方的OpenID(或类似)标识,则必须向加载openID提供程序页面的用户显示WebView,您只需确保认证后的重定向页面包含生成的令牌隐藏在某个地方(例如在标题中),您可以使用应用程序代码进行解压缩.
这是很简单的实现自己,但我看到一个插件play2来处理令牌验证:
https://github.com/orefalo/play2-authenticitytoken(从未使用过)
一个是无国籍的:
https://github.com/blendlabs/play20-stateless-auth
对于登录位,你不必实现,有很好的模块在那里玩:
> https://github.com/joscha/play-authenticate
> https://github.com/jaliss/securesocial