所以我有一个Android应用程序,登录启用Facebook。用户登录后,应用程序会将用户的访问令牌发送到服务器进行验证。服务器通过使用该访问令牌向facebook发出简单请求来验证令牌的有效性。
现在,在初步验证之后,我需要验证客户端Android应用程序向服务器发出的每个后续请求以识别客户端。我应该在每个请求(POST请求)的正文中包含访问令牌,并确认它与上面登录过程中收到的访问令牌相匹配吗? GET请求怎么样?
更新:我需要在客户端(Android应用程序)和服务器上维护会话,以便服务器识别客户端。在我的例子中,假设有两个不同的用户登录,并且两个用户都向服务器发出GET请求。我的服务器不知道用户是谁,因为我没有通过在rails中创建会话变量而可以在Android应用程序上保留的会话 - 客户端的应用程序需要具有相同的会话变量作为服务器。但是我不知道如何在不发送访问令牌的情况下如何做到这一点,或者@ user.id知道如何在每次请求之前和之后再来一次......想知道是否有更好的方法来做到这一点。 / em>的
答案 0 :(得分:1)
与每个请求一起传递并在服务器上验证的令牌是标准解决方案。 无论HTTP方法如何,将标记作为HTTP标头发送也是一种标准做法。
当您使用标准OAuth2标头时,可以使用标记“承载”进行发送。如下所示。
Bearer: 8QIEF9QWEDFCQERMF0139RF1E=