Tôi sẽ sớm bắt đầu một dự án mới, đó là nhắm mục tiêu ứng dụng di động cho tất cả các nền tảng di động lớn (iOS, Android, Windows). Nó sẽ là một kiến trúc máy khách-máy chủ.
Ứng dụng này là cả thông tin và giao dịch. Đối với phần giao dịch, họ bắt buộc phải có tài khoản và đăng nhập trước khi giao dịch được thực hiện. Tôi chưa quen với phát triển di động, vì vậy tôi không biết phần xác thực được thực hiện trên các nền tảng này như thế nào. Các máy khách sẽ giao tiếp với máy chủ thông qua API REST. Sẽ sử dụng HTTPS ofcference.
Tôi chưa quyết định liệu tôi có muốn người dùng đăng nhập khi họ mở ứng dụng hay chỉ khi họ thực hiện giao dịch.
Tôi đã nhận được các câu hỏi sau đây:
1) Giống như ứng dụng Facebook, bạn chỉ nhập thông tin đăng nhập của mình khi bạn mở ứng dụng lần đầu tiên. Sau đó, bạn sẽ tự động đăng nhập mỗi khi bạn mở ứng dụng. Làm thế nào để thực hiện điều này? Chỉ đơn giản bằng cách mã hóa và lưu trữ thông tin đăng nhập trên thiết bị và gửi chúng mỗi khi ứng dụng khởi động?
2) Tôi có cần xác thực người dùng cho từng yêu cầu (giao dịch) được thực hiện cho API REST hoặc sử dụng phương pháp tiếp cận dựa trên mã thông báo không?
Xin vui lòng đề xuất các cách khác để xác thực.
Cảm ơn!