iOS AFNetWorking下得Basic Auth认证请求方式

欢迎大家一起交流 iOSQQ群139852091

我新入职了一家公司,做了一个项目,服务器的大哥说他采用的是Basic Auth认证请求方式,一般我们用的都是OAuth的认证方式,下面我们就对比一下这两种认证方式

百度百科得到如下

http://wpa.qq.com/msgrd?v=3&uin=139852091&site=qq&menu=yes

Basic Auth简单点说明就是每次请求API时都提供用户的username和password。

OAuth为用户资源的授权提供了一个安全、开放的标准,将会是以后开发平台普遍遵守的。它分为几个交互过程:

1)应用用APP KEY和APP SECRET换取OAuth_token;

2)应用将用户引导到服务商的页面对该OAuth_token进行授权(可能需要输入用户名和密码);

3)服务商的页面跳转回应用,应用再根据参数去服务商获得Access Token;

4)使用这个Access Token就可以访问API了。

然而两种的优缺点呢,百度百科也给出了比较详细的答案

Basic Auth优点:使用非常简单,开发和调试工作简单,没有复杂的页面跳转逻辑和交互过程;更利于发起方控制;

缺点:安全性低,每次都需要传递用户名和密码,用户名和密码很大程度上存在被监听盗取的可能;同时应用本地还需要保存用户名和密码,在应用本身的安全性来说,也存在很大问题;开放平台服务商出于自身安全性的考虑(第三方可以得到该服务商用户的账号密码,对于服务商来说是一种安全隐患),未来也会限制此认证方式(Twitter就计划在6月份停止Basic Auth的支持),用户如果更改了用户名和密码,还需要重新进行密码校验的过程。

OAuth的优点:安全性高,用户的账户和密码只需要提供一次,而且是在服务商的页面上提供,防止了Basic Auth反复传输密码带来的安全隐患;Access Token访问权限仅限于应用,被窃取不会影响用户在该服务商的其他服务;Access Token即使被监听丢失了随时可以撤销,不像密码丢失可能就被别人篡改了;用户修改了密码也不会影响该应用的正常使用。

两种方式的对比多余的就不说了,Basic Auth有关我们iOS程序的呢有一下几点:

我们每次都要上传username和password。也就是说我们每次都要记录用户的username和password,并且保证每次发送的密码必须都是正确的(像我们服务器大哥会给我们生成一个token,然后当做用户名传给他,这种应该算是两种方式都有使用吧,也就是说用户每次更新密码的时候我都要向存本地)

那么使用Basic Auth的代码是什么样子的呢:

AFNetWorking的代码如下:

我们点进这个方法里面去

Authorization?这个是什么大致百度一下,百度百科给的答案真的很少,大致是这样

没搜到什么种要信息,但是网络通过了。我想大致的意思是加到请求头里吧,可能是我比较笨,还没找到验证的办法,我会继续更新这个,如有知道的不对的欢迎大家批评指出,也可以到QQ群139852091中找我

好吧今天就到这里,据说老板是个坑,不给我们开工资,我也想想怎么拿工资吧,也欢迎大家给我推荐一份工资,QQ群13985209联系,再见、、、

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Netkiller

怎样入住IDC机房或迁移IDC机房

4.3. 机房迁移 总结一下5年前的工作,在不写下来自己都快忘光了,工作关系现在已经不涉及运维这块的工作。 4.3.1. 拓扑确立 首先制定服务器拓扑图,拓扑...

4295
来自专栏Young Dreamer

webpack4:连奏中的进化

3195
来自专栏北京马哥教育

四层和七层负载均衡的区别

(一) 简单理解四层和七层负载均衡: ① 所谓四层就是基于IP+端口的负载均衡;七层就是基于URL等应用层信息的负载均衡;同理,还有基于MAC地址的二层负载...

2986
来自专栏用户2442861的专栏

高性能网络编程(一)—-ACCEPT建立连接

http://taohui.pub/2016/01/25/%E9%AB%98%E6%80%A7%E8%83%BD%E7%BD%91%E7%BB%9C%E7%B...

931
来自专栏张戈的专栏

在Linux中发现IP地址冲突的方法

Linux 下出现 IP 冲突,是不会像 Windows 那样,在右下角弹出冲突提示的。博主就出过一次糗,记得当时是在 VM 虚拟机里面安装了 4 个 redh...

4107
来自专栏Petrichor的专栏

git: 为什么 pull request 不叫 push request

在日常的开源社区使用中,有时候会遇到我 想要 协助修改 的 开源项目。这个时候,pull request(合并申请功能)就可以让原本 没有 该仓库 修改权限 ...

1.4K2
来自专栏苦逼的码农

计算机网络系列 --- 什么是电路交换和分组交换?

首先我们来了解下分组的概念。所谓分组,就是将一个数据包分成一个个更小的数据包。例如对于一个10GB的数据包,总不可以一次性发送过去吧,而是把它分成若干个小的数据...

1083
来自专栏用户2442861的专栏

高性能网络编程(一)----accept建立连接(陶辉)

http://blog.csdn.net/russell_tao/article/details/9111769

1011
来自专栏Java架构师进阶

浅谈Nginx负载均衡与F5的区别

笔者最近在负责某集团网站时,同时用到了Nginx与F5,如图所示,负载均衡器F5作为处理外界请求的第一道“墙”,将请求分发到web服务器后,web服务器上的Ng...

1511
来自专栏Java架构师进阶

java架构师之用Redis轻松实现秒杀系统

曾经被问过好多次怎样实现秒杀系统的问题。昨天又在CSDN架构师微信群被问到了。因此这里把我设想的实现秒杀系统的价格设计分享出来。供大家参考。

8792

扫码关注云+社区

领取腾讯云代金券