我一直在开发将支持许多用户的应用程序。问题是我不知道如何验证客户端/用户。
我正在构建一个http://quickblox.com/之类的应用程序,在该应用程序中我将向用户提供凭据,他们将使用这些凭据来构建N个应用程序,在这些应用程序中,他们无法输入用户名和密码来进行身份验证。
让我们假设它如下。(就像QuickBlox一样)
1.用户在我的网站上创建帐户。
2.用户可以创建N个API密钥和保密凭证。(对于多个应用程序)
3.用户将在其应用程序(Android,iOS,Javascript等)中使用这些凭据与我的REST API进行通信。
(REST API具有读写访问权限。)
我的顾虑?
用户会将其凭据(API密钥和秘密密钥)放入他们构建的应用程序中,如果有人获得了这些密钥并尝试模仿用户该怎么办?(通过反编译APK或直接查看JavaScript代码。
我在某处错了吗?
我对构建这种三级用户机制感到困惑。