回答編集履歴
2
サーバ側でのトークン判断追記
answer
CHANGED
|
@@ -6,7 +6,7 @@
|
|
|
6
6
|
|
|
7
7
|
これだとアプリが起動している間、常にメモリ上に常にパスワードを維持しなければならないので、あまり良くないと思います。
|
|
8
8
|
|
|
9
|
-
こういう「ログイン」という行為は、たいていログイン成功時にアクセス用のトークンと呼ばれるものをサーバ側で発行し、アプリに返すのが常套だと思います。ログイン後はそのトークンを用いてサーバへリクエストを投げます。
|
|
9
|
+
こういう「ログイン」という行為は、たいていログイン成功時にアクセス用のトークンと呼ばれるものをサーバ側で発行し、アプリに返すのが常套だと思います。ログイン後はそのトークンを用いてサーバへリクエストを投げます。サーバ側はそのトークンが有効であるかどうかを判断し、問題がなければ正常なレスポンスを、問題があればエラーを返すことで、不正なアクセスを防止できます。
|
|
10
10
|
|
|
11
11
|
http://example.com/status&token=XXXXXXX
|
|
12
12
|
|
1
ログアウト時の追記
answer
CHANGED
|
@@ -10,4 +10,5 @@
|
|
|
10
10
|
|
|
11
11
|
http://example.com/status&token=XXXXXXX
|
|
12
12
|
|
|
13
|
-
トークンには有効期限、アクセス元制限を
|
|
13
|
+
トークンには有効期限、アクセス元制限をかけることで、他者にトークンが漏洩しても外部から不正にアクセスすることを防ぐ仕組みを設けることができます。(もちろんその実装は自分次第ですが)
|
|
14
|
+
ログアウト時に、サーバへ該当のトークンを破棄する処理を実行すればなおよしです。アプリが強制終了してログアウトできなかったときも、有効期限が切れればそのトークンは無効になるので大丈夫です。
|