使用Xamarin表单的上述服务,我已启用OAuth(Microsoft和Google)身份验证。 API调用工作正常, [Authorize] 的那些函数正在通过身份验证强制执行。
但是,我们正在使用服务器端身份验证,因此在收到来自相应提供商的用户令牌后,如果用户帐户在那里,我们会检查我们的数据库。如果没有,我们调用另一个API函数,在数据库中插入此帐户并为用户提供对我们应用程序的演示访问。
因此,我不应该对此功能进行任何身份验证。如何保护该功能,仅允许从应用程序创建此类用户,而不是直接从API站点创建?
(我正在考虑使用硬编码密钥,如果没有其他安全方法可用,则将其传递给函数)
答案 0 :(得分:4)
我在博客中介绍了这一点。第一天见https://shellmonger.com/2016/05/13/30-days-of-zumo-v2-azure-mobile-apps-day-20-custom-api/,第21/22日也见。