Matheus,
A maneira mais prática é salvar esses tokens em Redis. Assim o tempo gasto para verificar a existência do token é praticamente insignificante, pois ocorre na memória, não no disco.
Não é necessário fazer duas requisições. Você irá usar um hash e alocará este no cabeçalho "Authorization".
Há bibliotecas prontas para isso, de forma que não é necessário fazer manualmente.
Um exemplo é a com.squareup.okhttp.Credentials.basic(String userName, String token). A string retornada é o hash no formato basic auth.
Como seu app não usa userName, pelo que entendi, este pode ser o nome da sua app mesmo (ou qq constante).
O importante é garantir que você é capaz de gerar uma chave de rápido acesso no servidor e o garantir que a app irá acoplá-la nas requisições.
O OAuth tb serve, mas é de implementação mais complexa. O basic auth, como o nome diz, é mais básico e atende seu caso.
Em 12 de junho de 2015 17:26, Marcelo Alves <marcelo.alves@gmail.com> escreveu:
Vocês estão reinventando OAuth.Se quiser "garantir" um pouco mais de segurança, pode tentar usar autenticação mútua (https://en.wikipedia.org/wiki/Mutual_authentication ), mas isso também não impede (só atrasa), alguém de fazer engenharia reversa e usar seu certificado, já que ele tem que estar local. Vantagem é que periodicamente você pode revogar o certificado e forçar usuários a atualizar o app.--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.
0 comentários:
Postar um comentário