我是一名天蓝色的用户,我使用移动服务客户端从oAuth提供程序令牌生成azure令牌。
我想让用户安全地读/写MY API,看来它给我的唯一唯一标识符是整数userID。每次生成未经身份验证的客户端时,令牌(一种更难以猜测的字符串)似乎都会发生变化。
这样做的最佳做法是什么?有人可以用我的appkey打开一个客户端,猜测25个字符的用户ID,然后调用我的api?
如何使用令牌为我的api提供安全的读/写?或者使用用户ID,https,混淆等我最好的选择?也许我可以使用关于令牌如何工作的教程。
答案 0 :(得分:0)
这里有两三件。
1)OAuth提供商(Facebook,Google等)可能会为您提供加密签名的JSON Web令牌(JWT) - 安全且值得信赖 2)ZUMO令牌同样是JWT - 加密签名并且可以信任。 3)您可以通过调用getIdentity()(node.js服务器SDK)或GetIdentityAsync<>将JWT转换为支持JWT的声明。 (ASP.NET服务器SDK)
您可以在我的博客上找到一些信息:https://shellmonger.com/2016/04/08/30-days-of-zumo-v2-azure-mobile-apps-day-5-custom-authentication/ - 我正在讨论Azure移动应用的身份验证。