适用于iOS的安全API，无需用户帐户

我知道这是一个受欢迎的问题，但是我还没有find任何其他的问题来解决我的具体需求。

背景

• 我有一个iOS应用程序，从我的Ruby on Rails开发的Web API中检索数据。
• 我想私有化我的API，以便其他来源不能使用来自我的API的数据（即别人开发一个应用程序，打我的APIurl，并为他们的客户使用的数据）

要求

• （HARD）私有API，以便只有经过授权的客户端（只能从iOS应用程序进入）才能访问API中的数据。
• （HARD）用户不必创build用户/密码帐户。
• （SOFT）我已经读过，试图获得苹果认可的应用程序时，SSL可能会变成一场噩梦。 由于这是一个小型应用程序（截至目前），我宁愿不依靠SSL。 但是 ，如果您可以指出正确的方向，就可以轻松在iOS上使用所有APIstream量使用SSL，我完全可以接受）。

！ 如果你失去了兴趣，跳到这个问题的结尾:) ！

迄今为止的想法

想法1：

1. iOS从Web请求令牌，发送一些UUID
2. WEB响应API_Token和Token_Expiry
3. WEB存储数据库中的UUID，API_Token和Token_Expiry
4. iOS在本地存储API_令牌Token_Expiry
5. iOS通过发送UUID和API_Token来请求数据
6. WEBvalidationUUID和API_Token，以数据响应
7. 重复步骤5-6，直到API_Token过期，然后从步骤1开始重复

*想法2 :(一次性使用API​​_Token）*

1. iOS从Web请求令牌，发送一些UUID
2. WEB响应API_Token
3. WEB将UUID和API_Token存储在数据库中
4. iOS在本地存储API_Token
5. iOS通过发送UUID和API_Token来请求数据
6. WEBvalidationUUID和API_Token，用数据和NEW TOKEN响应
7. iOS获取数据并在本地保存NEW TOKEN
8. 无限重复步骤5-7

这些想法的问题

我相信，iOS不再有完美的UUID解决scheme。 如果UUID可能随时间变化（或者用户有多个iOS设备），则可能会发生身份validation问题。

如果黑客得到一个API密钥，我不希望他们能够访问数据（因此到期或新的令牌的想法）。

题

你有什么build议在Rails和iOS之间创build一个安全的API？

---

编辑1：

我还是很惊讶，这不是一直出现的。 必须有大量的应用程序与API通信，但不会强制用户注册。 如果SSL或OAuth是唯一合适的解决scheme，请进行辩护。 我是耳朵。

• Xcode添加本地化并不是所有的故事板都被发现
• 调整UICollectionViewCell以适应内容

• 遥控三星电视从iOS应用程序
• 需要使用API​​访问的图片托pipebuild议
• 我可以使用Google Analytics（分析）来整理iOS应用程式的统计资料吗？
• NatCam教程系列1：开始
• Slacklogin不起作用。 Swift 3.0
• 贝宝API：如何将其整合到我的应用程序？ IOS5
• 带有Rage的iOS中的实用网络
• iOS应用程序的请求和响应
• 如何使用iOS上的Google Drive API处理电子表格