Envoyé par
nicroman
Sinon, il faut continuer d'authentifier l'utilisateur tout le long des requêtes... et pour éviter de faire du https (qui est quand même bien plus lourd que http) sans arrêt (pour des informations sans risque), il faut en général utiliser un "token".
Un "token" est émis par le web-service en réponse au login. Le "token" permet de connaitre l'identité (et l'authenticité) de l'utilisateur *SANS* accéder à la base de données. Il ne doit être relisible que par le web-service (peut importe pour le client son format), et peut contenir des choses comme l'ID de l'utilisateur (plus pratique que son login), un numéro de session (incrémental), une date limite de validité, une adresse IP (non recommandé pour les mobiles qui peuvent en changer souvent), un cookie de session, ....
Partager