안녕하세요.
안드로이드펍 덕분에 열심히 개발하고 있는 개발자입니다.
안드로이드 네이티브 앱을 제작 중인데, 서버 통신(apm) 관련하여 여쭤볼 것이 있습니다.
현재 앱 제작시 통신 모듈은 volley를 사용하고 있습니다.
유저 핸드폰 번호와 이름으로 회원 가입을 진행하고 있습니다.(이게 유니크한 키는 아닙니다.)
예를들어 서버에
http://도메인.com/api/user/ 라는 주소로 안드로이드에서 호출 할 수 있습니다.
post형태로 개인의 휴대폰 번호를 보내고, 만약 db에 그 정보가 있다면 json형태로 돌려 주려고 합니다.
여기서 문제점이, 어디서든 post형태로 휴대폰 번호를 넘겨주면, 개인 정보 확인이 가능하게 되는 것이 문제입니다.
이것을 방지하기 위해, oauth를 사용하는 것이 맞나요 ?
혹시 oauth 사용이 부담스러울 경우, 보통 어떤 형태로 제작하는 지 궁금합니다.
제 생각에는 android device id와 핸드폰 번호를 적히 활용하는 방안을 생각 중입니다.
안드로이드에서 서버로 3개의 값을 보냅니다.
1. access token : device id, 핸드폰 번호, 오늘의 날짜(Y-m-d)를 합하여 만든 암호화 키
2. device id
3. 핸드폰 번호
그러면 이 정보를 갖고 서버에서 받은 device id, 핸드폰번호, 서버의 날짜를 조합하여 , 서버 자체적으로 access token을 구하여, post로 받은 1번의 access token과 비교하여 일치하다면 회원으로 인정하고자 합니다.
이렇게 하면 되나요 ?
그리고 이렇게 한다고 했을 때 , 매번 정보를 불러 올 때 마다 이런 형태로 인증을 취해야 하나요 ?
인증을 유지 하는 방법(웹 상에서는 세션이나 쿠키)은 안드로이드에서 권고하지 않는 것 같아서요..
질문이 길었지만 읽어주셔서 감사드립니다.
조언 부탁드리겠습니다!!