Tôi đã phát triển một ứng dụng sẽ hỗ trợ nhiều người dùng. Vấn đề là tôi không thể tìm ra cách xác thực ứng dụng khách / người dùng.
Tôi đang xây dựng một ứng dụng như http://quickblox.com/ nơi tôi sẽ cung cấp thông tin cho người dùng của tôi và họ sẽ sử dụng để xây dựng những tồn các ứng dụng mà họ không thể đặt tên truy cập và mật khẩu của họ để có được chứng thực.
Hãy giả sử nó đi như sau. (Giống như QuickBlox)
1. Người dùng tạo tài khoản trên trang web của tôi.
2. Người dùng có thể tạo khóa N API và tiết lộ thông tin đăng nhập. (Đối với nhiều ứng dụng)
3. Người dùng sẽ sử dụng các thông tin đăng nhập này trong các ứng dụng của họ (Android, iOS, Javascript, v.v.) để nói chuyện với API REST của tôi.
(API REST có quyền truy cập đọc và ghi.)
Nỗi lo của tôi?
Người dùng sẽ đặt thông tin đăng nhập của họ (khóa API và khóa bí mật) trong các ứng dụng họ xây dựng, nếu ai đó nhận được các khóa này và cố gắng bắt chước người dùng thì sao? (Bằng cách dịch ngược APK hoặc trực tiếp tìm mã JavaScript.
Tôi có sai ở đâu đó không?
Tôi bối rối để kiến trúc sư cơ chế người dùng ba cấp này.