我正在为我的rails应用程序构建API。通过该API,我将登录用户并允许他们与他们的数据进行交互。
除了用户身份验证之外,我还想确保只有我的iOS应用可以访问API,并最终访问我自己的网络应用。
我想确保没有其他人会使用API,因此除了用户身份验证之外,我还希望使用每个应用的令牌来保护我的API。
你通常如何解决这个问题?我是否必须在每个呼叫上传递该令牌,以便验证呼叫是来自有效的客户端并确定它是哪个客户端(web vs iOS)。
我非常感谢任何指示,或者如果你知道一篇解释如何解决这个问题的文章。
答案 0 :(得分:0)
由于您已经在使用jwt来验证您的用户,为什么不直接使用jwt的功能在令牌中包含其他信息,在这种情况下,某些形式的散列字符串可以验证服务器端是否有效“客户ID“。 在每个请求上,您都可以刷新字符串。
每个请求中都有双重身份验证。用户和客户。