Xác thực ứng dụng di động gốc bằng API REST

Tôi sẽ sớm bắt đầu một dự án mới, đó là nhắm mục tiêu ứng dụng di động cho tất cả các nền tảng di động lớn (iOS, Android, Windows). Nó sẽ là một kiến ​​trúc máy khách-máy chủ.

Ứng dụng này là cả thông tin và giao dịch. Đối với phần giao dịch, họ bắt buộc phải có tài khoản và đăng nhập trước khi giao dịch được thực hiện. Tôi chưa quen với phát triển di động, vì vậy tôi không biết phần xác thực được thực hiện trên các nền tảng này như thế nào. Các máy khách sẽ giao tiếp với máy chủ thông qua API REST. Sẽ sử dụng HTTPS ofcference.

Tôi chưa quyết định liệu tôi có muốn người dùng đăng nhập khi họ mở ứng dụng hay chỉ khi họ thực hiện giao dịch.

Tôi đã nhận được các câu hỏi sau đây:

1) Giống như ứng dụng Facebook, bạn chỉ nhập thông tin đăng nhập của mình khi bạn mở ứng dụng lần đầu tiên. Sau đó, bạn sẽ tự động đăng nhập mỗi khi bạn mở ứng dụng. Làm thế nào để thực hiện điều này? Chỉ đơn giản bằng cách mã hóa và lưu trữ thông tin đăng nhập trên thiết bị và gửi chúng mỗi khi ứng dụng khởi động?

2) Tôi có cần xác thực người dùng cho từng yêu cầu (giao dịch) được thực hiện cho API REST hoặc sử dụng phương pháp tiếp cận dựa trên mã thông báo không?

Xin vui lòng đề xuất các cách khác để xác thực.

Cảm ơn!

Bạn chuyển tên người dùng / mật khẩu cho phương thức đăng nhập API RESTful của bạn và nó trả về mã thông báo truy cập. Mã thông báo truy cập đó chỉ là một chuỗi duy nhất (cho hệ thống).

Cửa hàng thiết bị (vẫn tồn tại) mã thông báo truy cập đó. Mỗi lần bạn gửi yêu cầu RESTful đến máy chủ, bạn đặt mã thông báo truy cập đó vào tiêu đề của yêu cầu HTTP. Máy chủ tìm thấy người dùng bằng mã thông báo truy cập và thành công đáp ứng yêu cầu.

Tên người dùng / mật khẩu không được lưu trữ trên thiết bị.