北京赛车登入

您的位置:北京赛车登入 > 北京赛车登入 >

(Swift) iOS Apps with REST APIs(八) -- 基于OAuth2.0认证(上)

发布日期:2019-11-14浏览次数:198

  重要说明: 这是一个系列教程,非本人原创,而是翻译国外的一个教程。本人也在学习Swift,看到这个教程对开发一个实际的APP非常有帮助,所以翻译共享给大家。原教程非常长,我会陆续翻译并发布,欢迎交流与分享。

  如果你是基于REST API来构建一个APP,或许在某些调用的地方需要进行验证。更甚者需要在所有的调用中都需要认证。在使用GitHub API时,我们会给出两种验证方式:基本验证(基于用户名/密码)和OAuth2.0验证。但是对于我们构建的gists APP将只使用OAuth2.0验证。但后面也会讲到使用Mashape进行header/token验证。

  检查你的开发文档中关于认证要求的章节。并实现本章中与你API相匹配的部分。在本章最后还实现了在您的API管理器中的所需要的身份验证集成。

  在Gists App中最终我们将使用OAuth2.0进行认证,但这之前先来看看基础认证是如何工作的。在这里,我们只会在控制台中打印API的结果来确认我们是否成功调用,就像之前的printPublicGists函数一样。不过在后面的章节中我们会实现基于OAuth2.0的认证。

  首先,让我们像调用公共gists一样来调用(在没有任何认证的情况下)看看会发生什么。修改GitHubAPIController:

  就像文档中所说的,我们需要增加认证信息。最简单的方式就是使用基础认证(Basic Authentication),通过提供用户名和密码进行认证。基础认证要求在Authorization报头中包含用户名和密码,格式为:username:password,并使用base64进行编码。

  Base64编码是一个非常简单的编码方式,它将数据编译成二进制数据,并以文本的方式进行发送。这种类型的编码不提供额外的安全性,因为它仅仅是一个编码,而不是加密。那,为什么基本身份验证时,还要对已经是文本的用户名和密码进行编码呢?其实这个主要的原因是对一些奇怪的字符进行编码,以防止引起HTTP请求问题。

  下面让我们先把认证凭据进行Base64编码,让后添加到AuthorizationHTTP请求的报头中。这里你要确认使用了你的正确的GitHub的用户名和密码。然后我们把信息添加到在路由中创建的NSMutableURLRequest中:

  编译并运行,将得到你所关注Gists的列表(或许运行之前你得先去关注几个Gists)。通过你将可以得到所关注的Gists列表:

  通过NSURLCredentialPersistence可以指定认证凭据的有效期(本次调用、会话期间或者永久)。它也可以和基于证书的认证一起使用。

  如果你的API中使用基本的身份验证,那么可以使用凭据以便进行保存。在本章的OAuth章节我们将使用Locksmith把敏感的信息保存到iOS的Keychain中。你也许需要增加一个视图来让用户填写用户名和密码,这个可以参考后面的创建章节,看看如何创建一个简单的表单。或许你还要在APP启动的时候,如果没有检测到用户的认证信息,弹出认证对话框。这些和我们在后面做OAuth2.0认证的时候差不多,所以你可以先去那里查看一下如何开始一个登录流程。

  当你登录了Mashape后,你会得到2个header,并在API调用中进行传递,而不是之前我们使用的基础身份验证:

  那么如果使用Alamofire该怎样处理呢?别忘记之前的报头章节,那里有我们需要的所有细节。这些报头在整个会话中都需要,那么我们将来实现它。

  一般,如果一个API key需要在所有会话调用中使用,那么我们将为整个会话进行一次性设置,而不是在每次请求中设置。

  但,到目前为止,我们都是使用Alamofire.request(...)进行请求。而Alamofire使用一个单一的管理器来处理这些请求,也就是说如果我们像下面这样调用的话是和之前的调用是一样的:

  这样我们就可以为整个会话设置HTTP报头了,就像我们之前设置GitHub的Accept报头一样。

  如果你的API是使用基础的token/header认证,那么在API管理器中为整个会话进行设置。

  如果你现在正在寻找一些API来提高呢的开发技能,可以使用我们的Mashape。这个上面有大把的API,够你折腾的了。

  假如你没有在调用中包含对.validate的调用,那么Alamofire将假设调用已成功。在调用返回的类型不是我们所期望的,或返回的状态不在200~299之内时.validate()将返回一个调用失败。旧版本的validate在有错误的时候不会在调用你的自定义序列化方法,并隐藏了一些有价值的错误信息描述。但v3.0.0之后则不会。

  对于一些API或许希望使用JSON来返回比.validate()更详细的错误信息。测试你的API,通过JSON和.validate()打印出错误信息,看看是否应该使用guard语句从返回的错误信息中进行序列化,或者对返回的JSON进行解析并返回。你或许会发现之前返回的The operation couldnt be completed错误信息,被unauthorized(如:Parse REST API)替代了。这样我们就能够得到一个描述更具体的错误信息,而不是一个通用的网络错误信息。

北京赛车登入