Как хранить сессию в мобильном приложении?

Question

[Shane Matte]

привет. Есть сервис, написаный на laravel. Есть rest api. Надо сделать теперь мобильное приложение, с аутентификацией, и конечно после успешной авторизации доступ к личному кабинету. Приложение думаю писать с помощью electronjs. Но как и где хранить сессию в мобильном приложении, как контролировать права доступа?

Answer 1

[xmoonlight]

Не важно на чем Вы пишите и как (PHP, rest/не-rest и т.д.): схема - везде одна.

Про сессию:
1. Сервер создаёт идентификатор сессии и всегда указывает его при ответе на каждый запрос клиента.
2. Клиент использует этот идентификатор (обычно хранит в куках браузера) при каждом последующем запросе.
3. Если сервер в ответе указал НОВЫЙ идентификатор сессии, клиент - должен использовать новый.

Про токен:
Токен объединяет в себе авторизацию и сессию с помощью операции хэширования.
1. После получения идентификатора сессии от сервера, клиент отправляет хешированную информацию на основе логина, пароля и полученного идентификатора.
2. Сервер проверяет и, если всё верно, выдаёт токен для последующих запросов.
3. Для защиты от восстановления формулы хэширования на основе одинаковых данных, используется полиморфизм: добавляется параметр random и timestamp к передаваемым параметрам.
4. Для защиты уникальности - на стороне сервера предусматривается суточное хранение всех запросов на основе токена.

Токен может быть как постоянным, так и одноразовым.
1. Постоянный - когда при каждом запросе к серверу он не меняется.
2. Одноразовый - когда после каждого запроса к серверу, сервер выдаёт новый токен.

Comments

[Игорь]

Здравствуйте, подскажите пожалуйста, вот вы пишите:

3. Для защиты от восстановления формулы хэширования на основе одинаковых данных, используется полиморфизм: добавляется параметр random и timestamp к передаваемым параметрам.

А каким образом достигается согласованность параметра random на клиенте и сервере? То есть клиент, когда формирует хэш, добавляет к строке random, timestamp, то серверу что бы проверить подпись, нужно сформировать аналогичный random. Как это реализуется? Или этот random передается в запросе вместе с хэш строкой? Но тогда путем перебора параметров запроса не составит проблем сформировать такой же хэш.
Спасибо.

[xmoonlight]

Игорь: рандом - случайный, да. Он передаётся как один из параметров в открытом виде.
хеш - формируется на основе параметров и токена.
токен - известен клиенту и серверу, он не передаётся при запросах к API и служит как параметр для формирования хеша внутри формулы.
повторные запросы (дубликаты хеша) - исключаются сервером на сутки (чтобы исключить погрешность, но можно и жёстче всё сделать, вплоть до 5 минут)

Answer 2

[littleguga]

Вы наверное хотели сказать с ionic framework?
Electron для desktop.

Можете посмотреть на react native или что-нибудь еще.

Не совсем понимаю, в чем проблема контроля прав? Этим должно заниматься Ваше API на сервере(разрешен ли такой метод или нет). А на клиенте достаточно просто хранить token для запросов.

Comments

[Shane Matte]

а где можно почитать о розработке мобильных пртложений с restapi? А хранить токен на клиенте просто создать переменную и все? или как то иначе?

[littleguga]

Shane Matte: есть много вопросов на тостере на эту тему и в целом на хабре.

Answer 3

[Mikhail Osher]

Bearer token.