iOS 对 Web 服务器的身份验证

Question

好的。所以我需要一些指导，因为我是一个完全的 iOS 身份验证新手。

我有一个简单的应用程序。用户可以登录应用程序，并向 friend 发送消息。有一个 Web 服务器和一个保存用户和登录信息的 MySql 数据库。

问:用户登录时如何验证safely和 securely ?

在过去的几个小时里，我从 google 发现了以下身份验证内容，这让我的大脑受到了伤害:

OAuth 1.0 - 据说很好。但它是一个协议(protocol)而不是一个库。我必须从头开始实现吗？在我的情况下，这甚至需要进行身份验证吗？

OAuth 2.0 - 似乎有些网站正在使用它。我对此有与 1.0 版相同的问题。我也看到了这条消息from the library's lead creator字面意思是 f*** 2.0 版，因为它不利于安全性。但是仍然有很多人使用它。危险吗？

2.0 的创建者现在继续制作 completely other library因为 2.0 的糟糕程度以及 1.0 的不可扩展性。他的图书馆叫做 OZ。我应该将它用于我的服务器吗？

我看到 AlamoFire/AFNetworking 在他们的文档中显示了基本身份验证。我应该把 oAuth 的东西搞砸并使用他们的东西吗？

作为身份验证的新手，所有这一切都让我感到非常困惑。有这方面知识的人可以提供一些指导吗？

Answer 1

我目前正在创建一个跨平台应用程序，并花了相当长的时间研究这个!

我的项目方法是使用 ASP.NET Web API 和 OWIN 中间件。

这使用不记名 token 到 认证 用户。
使用 Microsoft.Identity您可以将端点限制为角色甚至个人用户 (授权)

目前我在 REST API 上创建了一个用户，他们在 /token 登录端点，然后接收 token 。然后，此 token 将保存到 Apple key 链中，并可用于对用户进行身份验证，以便进一步请求 API。

只要您使用 SSL，这是一种安全的方法，并在许多应用程序中广泛使用。

这种方法也使用 OAuth2，因此您可以轻松集成 Facebook/Google/etc 集成。

这是 Microsoft 文档的链接，可进一步阅读我的操作方法:
http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api

目前这对我来说非常适合有角度的前端，但在 iOS 中的工作方式完全相同，除非您可能希望将 token 保存到 KeyChain Storage。