给app做的api接口如何保证用户的合法性？

我在google上面搜索了一些针对app的用户认证方案，也对比过传统PC时代的cookie认证，觉得都不太合理，我想到一个方案，不知道是否合理？

需求大概是这样的，用户通过登录第三方，走oauth接口来登录我们的app。

大概的流程如下：

1. 用户先登录第三方，然后客户端拿到用户的数据，用https返回发给服务端。其中，传递的数据如下：

<code>{
    “user_id”:”123123123” ,
    “access_token”:”accesstokenstrng”,
    “platform”:”qq”,
    “platform_name”:”xxx”,
}
</code>

2、服务端鉴权成功后，拿到用户更进一步的数据，主动帮用户创建一个用户。
3、服务端接着把user_id、登录状态相关信息、动态生成的secret加密串，存储到session之类的地方。
4、服务端把session_id、secret返回给客户端，客户端把这个secret存到内存里面。
5、至此，创建用户成功，结束https连接。

6、后续所有涉及到后端增删改的请求，都走http协议。在发送数据时，客户端先用secret对传输的数据做签名，并把签名signature、session_id一起带过来。
7、服务端根据session_id找到用户的数据，然后同样用secret对数据进行签名。如果两者一样，就证明数据是合法的。然后，就可以往下走常规的业务逻辑了。

这里面又涉及到两个问题：
1、客户端和服务端初始的https是否必要？其实我完全可以把secret内置到app里面。
2、我这种用secret对数据做签名的做法，比起自己搞个公钥私钥走https，好像没啥区别？

可能重复的问题：用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

回复内容：

我在google上面搜索了一些针对app的用户认证方案，也对比过传统PC时代的cookie认证，觉得都不太合理，我想到一个方案，不知道是否合理？

需求大概是这样的，用户通过登录第三方，走oauth接口来登录我们的app。

大概的流程如下：

1. 用户先登录第三方，然后客户端拿到用户的数据，用https返回发给服务端。其中，传递的数据如下：

<code>{
    “user_id”:”123123123” ,
    “access_token”:”accesstokenstrng”,
    “platform”:”qq”,
    “platform_name”:”xxx”,
}
</code>

2、服务端鉴权成功后，拿到用户更进一步的数据，主动帮用户创建一个用户。
3、服务端接着把user_id、登录状态相关信息、动态生成的secret加密串，存储到session之类的地方。
4、服务端把session_id、secret返回给客户端，客户端把这个secret存到内存里面。
5、至此，创建用户成功，结束https连接。

6、后续所有涉及到后端增删改的请求，都走http协议。在发送数据时，客户端先用secret对传输的数据做签名，并把签名signature、session_id一起带过来。
7、服务端根据session_id找到用户的数据，然后同样用secret对数据进行签名。如果两者一样，就证明数据是合法的。然后，就可以往下走常规的业务逻辑了。

这里面又涉及到两个问题：
1、客户端和服务端初始的https是否必要？其实我完全可以把secret内置到app里面。
2、我这种用secret对数据做签名的做法，比起自己搞个公钥私钥走https，好像没啥区别？

可能重复的问题：用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做