如何使用基本身份驗證保護Android / ios應用程序的Web API
[英]How to secure Web API for android/ios apps with basic authentication
問題描述
我正在嘗試保護一個Web API ,該Web API將由在Android和iOS上運行的移動應用程序使用。 它現在的工作方式是使用SSL進行Basic Authentication ,它會將每個請求的username和password發送到Web API 。 在調用action之前,我在filter驗證Web API中的憑據。 這非常有效。 問題是,在用戶登錄后,我必須將密碼存儲在設備( Android / iOS )上以保存會話,否則他們將不得不一直登錄。 這不安全,因為如果設備被黑客入侵,則可以訪問憑證。 我正在尋找一種方法來使用基本身份驗證,而無需在設備上存儲密碼。
我認為在解決這個文章可以工作,但我不清楚如何使它發揮作用。 在接受的答案中,它說
為每個應用生成一個密鑰,讓他們將每個請求中的密鑰作為令牌傳遞。 然后,您的服務器可以驗證密鑰並驗證請求。
請查看ASP.NET站點中的“ 基本身份驗證”模塊。 該示例使用'basic'作為授權方案,但您可以使用'token'來改變它。
我不清楚這里的過程。 在此示例中,即使在初始登錄期間也似乎沒有涉及任何用戶名/密碼。 用戶如何在不登錄的情況下獲取密鑰? 然后,報價中提到的“關鍵”究竟是什么。 那可能是像Guid這樣的東西? 我也不理解這比如果被黑客攻擊在設備上存儲用戶名和密碼更安全。 黑客可以使用“密鑰”,就像用戶名和密碼一樣正確嗎?
1 個解決方案
解決方案1
3 2015-07-29 21:57:29
這是身份驗證的基礎知識,我將以簡單的方式解釋這個過程。 希望你能理解。
- 用戶鍵入名稱和密碼,然后點擊登錄。
- 設備向服務器發送名稱和密碼。
- 服務器使用長的隨機唯一字符序列(也稱為密鑰)進行身份驗證和響應。
- 設備和服務器都存儲密鑰。
- 所有其他請求都使用密鑰進行身份驗證。
- 對於每個呼叫,服務器檢查密鑰是否與其存儲的密鑰匹配。
- 設備永遠不會存儲用戶名或密碼。
- 如果懷疑是違規,服務器可以禁用/刪除該密鑰,在這種情況下,用戶必須再次登錄
使用加密完成所有這些操作。 一切!
如何為移動應用程序訪問服務設計安全的API /身份驗證?
[英]How can I design a secure API/Authentication for mobile apps to access a service?
如何限制Web內容被特定的iOS和Android Apps查看/使用?
[英]How to limit the web content to be view/consume by specific iOS and Android Apps?
如何在Android / IOS應用中通過Google Cloud EndPoints使用基本身份驗證(java)
[英]how to use basic authentication in Android/IOS app with Google Cloud EndPoints(java)
如何為Android App使用的Web API服務實現身份驗證?
[英]How to implement authentication for Web API services that are used by an Android App?
Facebook API Android Authentication used for the Web API
[英]Facebook API Android Authentication used for the Web API
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
基本身份驗證Android API 20
如何為iOS和Android移動應用程序創建REST身份驗證
如何為移動應用程序訪問服務設計安全的API /身份驗證?
基本用戶身份驗證在Android上有效,而在iOS上無效
如何限制Web內容被特定的iOS和Android Apps查看/使用?
如何使用查詢身份驗證保護REST API
如何在Android / IOS應用中通過Google Cloud EndPoints使用基本身份驗證(java)
如何為Android App使用的Web API服務實現身份驗證?
如何調用需要基本身份驗證的Rest API?
Facebook API Android Authentication used for the Web API
相關標簽