Je démarre bientôt un nouveau projet, qui cible les applications mobiles pour toutes les principales plateformes mobiles (iOS, Android, Windows). Ce sera une architecture client-serveur.
L'application est à la fois informative et transactionnelle. Pour la partie transactionnelle, ils doivent avoir un compte et se connecter avant qu'une transaction puisse être effectuée. Je suis nouveau dans le développement mobile, donc je ne sais pas comment se déroule la partie authentification sur ces plateformes. Les clients communiqueront avec le serveur via une API REST. Utilisera bien sûr HTTPS.
Je n'ai pas encore décidé si je veux que l'utilisateur se connecte lorsqu'il ouvre l'application, ou uniquement lorsqu'il effectue une transaction.
J'ai eu les questions suivantes:
1) Comme l'application Facebook, vous ne saisissez vos informations d'identification que lorsque vous ouvrez l'application pour la première fois. Après cela, vous êtes automatiquement connecté à chaque fois que vous ouvrez l'application. Comment accomplit-on cela? Tout simplement en chiffrant et en stockant les informations d'identification sur l'appareil et en les envoyant à chaque démarrage de l'application?
2) Dois-je authentifier l'utilisateur pour chaque demande (transactionnelle) adressée à l'API REST ou utiliser une approche basée sur des jetons?
N'hésitez pas à suggérer d'autres moyens d'authentification.
Merci!
la source