A főnökség is a certet támogatja a tokennel szemben.
De segítsetek már, miért gondoljátok ezt akkora tákolásnak?
A client ssl -es azonosítás egy tök egyszerű dolog. Oké amikor elsőnek csináltam ilyet akkor nem ment elsőre, de legutóbb 10 perc alatt összeraktam egy teszt felületet hozzá.
Miből is áll?
Szerver alatt generálsz kulcsot és certet, belövöd apache alá, beállítod, hogy csak cert-el engedje be a usert és azt is, hogy lője ki a cert tartalmát a php-nak a $_SERVER változóba.
A kliensnek azaz a mobil appnak kell generálnia a saját kulcsot és cert requestet.
PHP-val kb 10 perc alatt írtam meg egy scriptet amivel a cert request-ből tudtam előállítani a kliens cert-et.
Ennyi a webszerver része nagy vonalakban. A kiadott certtel tud a user belépni az oldalra. A többi pedig már csak php scriptezés, hogy a $_SERVER változóból kikapja az infókat és eldöntse, hogy a user valid e v sem.
A mobil appot fejlesztőknek persze kicsit több meló lesz mint a token, de nem horribilisan nehéz dologról van szó. Az a plusz meló nekik, hogy eltárolgassák a kulcsokat certeket a megfelelő helyre és adminisztrálják, pl ha lejár, akkor újat tudjanak kérni. (de mondjuk a letiltott token helyett is kell tudni újat igényelni, ergó ez se plusz meló)
Itt nem a Spanyol viaszt találtuk meg. Nem mi lennénk az elsők akik cert-el autentikálnak és authorizálnak egyszerre.
Elég csak a megboldogult startssl oldalt megnézni. A regisztráció után kapsz egy certet és a böngésződbe letárolva azzal tudsz belépni.
Nem lehet, hogy valami nagyon másra gondoltatok?