Xamarin中的离线身份验证最佳做法

时间:2015-06-11 07:37:18

标签: c# xamarin xamarin.ios

我打算创建一个Xamarin(.Forms)应用程序,它必须具有身份验证:用户应该提供用户名和密码来获取数据。

问题是它必须同时运行离线(这意味着它不应该依赖服务器进行身份验证过程)。

到目前为止我考虑了以下内容:

  • 在首选项中存储用户名和密码 - 它不加密,易于重置,易于获取等。
  • 在数据库中存储用户名和密码 - 可以加密(我推测),易于重置

最佳做法是什么? Xamarin有没有内置的解决方案?

1 个答案:

答案 0 :(得分:11)

这取决于您的应用程序需求 - 如果您只需要对用户进行身份验证以脱机访问某些受限数据 - 我建议您对用户名和密码进行哈希处理,并将其存储在本地设备中(无论何处,它是哈希)。

如果您需要使用用户名&密码稍后用于与服务器进行身份验证,然后你应该使用像keychain这样的安全数据,Xamarin有一个内置的抽象来使用它,它叫做Xamarin.Auth,你可以安全地存储你的凭证。

*注意 - 在存储敏感数据的越狱/根设备中存在风险,请谨慎使用。

编辑 - 我添加了一个如何使用和使用这些服务的工作代码示例:

1)在便携式项目中添加此界面:

public interface ISecuredDataProvider
{
    void Store(string userId, string providerName, IDictionary<string, string> data);

    void Clear(string providerName);

    Dictionary<string, string> Retreive(string providerName);
}

2)在您的Android项目中,添加此实现:

public class AndroidSecuredDataProvider : ISecuredDataProvider
{
    public void Store(string userId, string providerName, IDictionary<string, string> data)
    {
        Clear(providerName);
        var accountStore = AccountStore.Create(Android.App.Application.Context);
        var account = new Account(userId, data);
        accountStore.Save(account, providerName);
    }

    public void Clear(string providerName)
    {
        var accountStore = AccountStore.Create(Android.App.Application.Context);
        var accounts = accountStore.FindAccountsForService(providerName);
        foreach (var account in accounts)
        {
            accountStore.Delete(account, providerName);
        }
    }

    public Dictionary<string, string> Retreive(string providerName)
    {
        var accountStore = AccountStore.Create(Android.App.Application.Context);
        var accounts =  accountStore.FindAccountsForService(providerName).FirstOrDefault();

        return (accounts != null) ? accounts.Properties : new Dictionary<string, string>();
    }
}

3)在您的iOS项目中,添加此实现:

  public class IOSSecuredDataProvider : ISecuredDataProvider
{
    public void Store(string userId, string providerName, IDictionary<string, string> data)
    {
        Clear(providerName);
        var accountStore = AccountStore.Create();
        var account = new Account(userId, data);
        accountStore.Save(account, providerName);
    }

    public void Clear(string providerName)
    {
        var accountStore = AccountStore.Create();
        var accounts = accountStore.FindAccountsForService(providerName);
        foreach (var account in accounts)
        {
            accountStore.Delete(account, providerName);
        }   
    }

    public Dictionary<string, string> Retreive(string providerName)
    {
        var accountStore = AccountStore.Create();
        var accounts = accountStore.FindAccountsForService(providerName).FirstOrDefault();

        return (accounts != null) ? accounts.Properties : new Dictionary<string, string>();
    }
}

4)用法示例 - 获取Facebook令牌后,我们将这样存储:

securedDataProvider.Store(user.Id, "FacebookAuth", new Dictionary<string, string> { { "FacebookToken", token } });

注意 - 我添加了两层数据,以便让第一层指示身份验证是否为Facebook / UserName-Password / other。 第二层是数据本身 - 即facebook token / credentials。

相关问题
最新问题