Как передавать id сессии к api на нативных мобильных приложениях?

Question

[midia21]

Стоит задача реализовать на PHP, что-то вроде REST Api для фронта и нативных приложений (которые на java да на swift'е пилятся). Только это не совсем REST, т.к. планируется по определенным причинам использовать состояние на стороне сервера (stateful). Слышал, что нативные мобилки не поддерживают coockie. Так ли это? Если да - то как тогда передавать id сессии? В теле ответа, или может в заголовка или еще как?

Доп. вопрос: как безопасней в таком случае будет такой токен хранить на фронте? Слышал в localStorage не очень безопасно, а других вариантов в голову не приходит

Заранее спасибо за ответ.

Comments

[srdp11]

Можно посмотреть в сторону jwt токенов

[midia21]

srdp11 Как упомянул - нужен stateful. Jwt токены налагают определенные трудности, например: непросто правильно реализовать их безопасное хранение, также для меня кажется критичной проблема невозможности отозвать эти токены без какого то черного списка.

Answer 1

[Олег]

Со стороны java и прочих ЯВУ работать с апи проще так
на нужный урл отсылается структура данных (json,xml)
в самой структуре есть поля для логина / тукена .
в ответ структура с кодом исполнения (успех, код ошибки) и результат или поле с текстом ошибки.

Так как данные ходят по https, то из трафика сложно вычленить логин и т.д.

Со стороны PHP маленькая заморочка. Данные нужно доставать из голого потока (пусто в _POST, _GET), одна лишняя строка кода
json_decode(file_get_contents('php://input'));