从移动设备保护身份验证

Question

我们已开始查看本教程，以便在Windows Azure中使用新的通知中心：

http://www.windowsazure.com/en-us/manage/services/notification-hubs/notify-users-aspnet/

有一次它指定了一个警告：

“安全注意事项 AuthenticationTestHandler类不提供真正的身份验证。它仅用于模仿基本身份验证并返回原则。创建Notification Hub注册需要用户名。上述实现并不安全。您必须在生产应用程序和服务中实现安全的身份验证机制。“

任何人都可以建议一个很好的方法来保护这个可以在Windows手机，Android和iOS上运行。我们无法使用内置身份验证，例如facebook，google，twitter等，因为它需要使用我们自己的身份验证后端。

非常感谢您的帮助。

Answer 1

要实施跨平台身份验证，最好使用OAuth2之类的标准。

OAuth2允许你

• 在服务器端的一个位置处理登录。
• 您的客户只会根据需要获得尽可能少的帐户信息。可以隐藏客户端的密码（而在移动应用程序中不常见）。每个客户端都有自己唯一的访问令牌。
• 通过撤消服务器端的访问令牌远程删除访问权限。

实施：

• Apache Oltu是用于OAuth2身份验证的Java Framework（服务器和客户端支持）。
• Udi wrote a very good tutorial for Android authentication.