【问题标题】:Forms authentication with hybrid mobile apps使用混合移动应用程序进行表单身份验证
【发布时间】:2014-10-30 05:04:15
【问题描述】:

我们正在使用 IONIC 框架和 Web Api 作为后端开发安卓手机应用程序。 我的问题是,使用表单身份验证和 SSL 是否足以保证手机应用程序的安全。

我们的背景是 Asp.Net Web 开发,我们看不到任何使用混合移动应用程序开发和表单身份验证的示例,这让我怀疑我们是否走错了路。

我们在 Angular 和 Web API 端都实现了 CORS 和 WithCredentials,并且身份验证部分似乎可以在调试模式下的所有后续调用中正常工作。

我们是否需要采取额外的安全措施,因为它是一个手机应用程序?

编辑:我正在阅读有关使用 Web Api 进行不记名令牌身份验证的信息,这是与手机应用程序一起使用的推荐方式吗?

谢谢!

【问题讨论】:

    标签: angularjs asp.net-web-api hybrid-mobile-app


    【解决方案1】:

    是的,我的建议是使用不记名令牌而不是表单身份验证。

    您需要使用 OAuth 2.0 资源所有者凭据流程,这意味着最终用户只为特定端点提供一次用户名/密码,即(/token)和然后,如果用户名/密码有效,您将获得名为 Bearer Access Token 的东西。

    此令牌在指定期限内有效,您可以在 Web API 中进行配置。获得访问令牌后,您需要将其安全地存储在您的 android/hybrid 应用程序中,然后使用授权标头(承载方案)将其与每个请求一起发送到受 Web api 保护的端点。我写了非常详细的帖子,100% 涵盖了你的场景。请检查帖子Token Based Authentication 和另一个帖子以使用AngularJS authentication 进行身份验证,这应该适用于您的情况。如果您需要进一步的帮助,请告诉我。

    【讨论】:

    • 事实上,我什至在阅读您的文章后才想到不记名令牌!快速提问,我可以使用自己的表格代替 asp.net 身份吗?谢谢!
    • 当然您可以使用自己的数据库存储来验证用户凭据,您需要用您的自定义逻辑替换这部分突出显示的代码以访问您的用户数据库存储。 github.com/tjoudeh/AngularJSAuthentication/blob/master/…
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2015-11-22
    • 2017-01-10
    • 2011-03-12
    • 2011-06-01
    • 2022-07-31
    • 2014-02-10
    • 2014-09-05
    相关资源
    最近更新 更多