Identifier le compte d'utilisateur Android à partir du serveur Web

Question

J'ai un serveur Web REST qui répond aux demandes des appareils Android où j'écris à la fois les codes serveur et client. Ici, je veux contrôler et limiter les demandes des utilisateurs en fonction de la liste blanche des comptes. Par exemple, j'accepte toutes les demandes pour l'URL A de n'importe quel utilisateur, mais j'accepte les demandes pour l'URL B uniquement à partir de l'utilisateur {admin@gmail.com, johndoe@gmail.com}.

Bien sûr, l'envoi d'un ID utilisateur en tant que simple texte json n'est pas une solution souhaitable car le client peut être piraté. Existe-t-il un mécanisme plus sécurisé disponible sur Android? comme le périphérique envoie une information privée du compte connecté et le serveur vérifie l'identité de l'utilisateur?

Answer 1

Si vous avez un certain type de système d'authentification, comme une simple connexion, une solution possible pourrait être d'utiliser un jeton généré pour représenter une session utilisateur. De cette façon, vous pouvez contrôler l'accès des utilisateurs sans envoyer d'informations sensibles telles que l'ID utilisateur et, en cas de violation du client, vous révoquez simplement ce jeton.

Answer 2

Vous pouvez utiliser des services tiers. Je recommande Backendless.com Check it out. Son libre, évolutif et a une fonctionnalité de l'intégration de vos jetons de serveur dans