相关疑难解决方法(0)

背景:

这实际上是一个一般的最佳实践问题,但有关具体情况的一些背景可能会有所帮助:

我们正在为iPhone开发一个"连接"应用程序.它将通过REST服务与后端应用程序通信.为了在每次启动应用程序时不必提示用户输入用户名和密码,我们将公开一个"登录"服务,该服务在初始启动时验证其用户名和密码,并返回可用于将来Web的身份验证令牌服务请求真实数据.令牌可能有一个到期时间,之后我们会要求他们使用他们的用户名/密码重新进行身份验证.

问题:

生成此类令牌以用于身份验证的最佳做法是什么？

例如,我们可以......

• 散列(SHA-256等)随机字符串并将其存储在给定用户的数据库中以及过期日期.在后续请求中对令牌进行简单查找以确保其匹配.
• 使用密钥加密用户ID和一些其他信息(时间戳等).在后续请求中解密令牌以确保它是由我们发布的.

这感觉它必须是一个解决的问题.