Dies könnte doppelt gewesen sein, da es viele ähnliche Fragen zu SO gibt, aber ich habe keine Antwort auf andere Fragen.Wie authentifiziere und merke ich Benutzer innerhalb der nativen App (Android/iOS)?
Ich habe einen Android/iOS-Client-Anwendungen und einen Server, der Ressourcen bereitstellt zu den Client-Apps. Der Client kommuniziert mit dem Server über REST API. Android/iOS-App erfordert angemeldeten Benutzer für seine Arbeit.
My (Wunsch) Szenario ist:
Benutzer Android App zum ersten Mal öffnen. Der Benutzer gibt seine Zugangsdaten ein (Benutzername, Passwort). App überprüft Anmeldeinformationen mit dem Server und wenn alles in Ordnung Benutzer die App eingibt, hat App jetzt alle Berechtigungen, um Benutzerressourcen zu erhalten und Updates an/von Server usw. zu senden. Benutzer sollte seine Anmeldeinformationen nie wieder (oder mindestens nicht für eine lange Zeit).
Wie kann ich dieses Szenario sichern?
suche ich OAuth 2.0 und andere Token basierte Authentifizierungsmethoden/Protokolle, und es gibt einige Dinge, die ich nicht verstehe:
Wenn Android-Client nicht sicheren Ort als ein Geheimnis zu speichern - wie kann ich halten ein Token (Zugriff oder Aktualisierung) für eine lange Zeit, ohne dass der Benutzer gezwungen wird, Anmeldeinformationen erneut einzugeben?