我刚刚设置了一个新的Azure移动应用程序(自旧移动服务以来首次使用一个)。
设置应用后,您可以使用"快速启动"用于创建连接到您的服务的Xamarin.Forms应用程序的产品,它们为您创建一个虚拟的ToDoItem表。然后,您可以下载有用的应用程序源代码。
我感到头疼的是,以前使用移动服务,你会得到你的移动服务网址和一个保密的API密钥(你可以保密的秘诀可以辩论在一天结束时,它在您的代码中,可能有人可以对APK或其他任何东西进行逆向工程并获得它... ...但是,新的移动应用程序服务似乎并不存在这个秘密API密钥的任何概念。我已经在示例应用来源周围搜索,只能找到应用服务的网址而不是其他内容。
所以我的问题是,阻止其他人使用我的移动应用服务网址以及读取/写入(或者更糟,删除)我的SQL Server表格的原因是什么?
也许我错过了一些东西......如果有人能够对这个问题有所了解,那就太棒了。
答案 0 :(得分:3)
应用程序密钥作为安全机制被删除,因为它给出了错误的安全感。正如你所提到的,没有什么可以阻止人们通过逆向工程应用程序或捕获网络流量来获取密钥 - 在某些方面它比没有安全性更糟糕!
我们强烈建议您将表设置为仅允许经过身份验证的访问。使用社交媒体身份提供程序不会为您提供任何基于角色的访问控制,但使用Azure Active Directory,您可以非常轻松地设置组。
您可以在https://azure.microsoft.com/en-us/documentation/articles/app-service-mobile-auth/找到一些基本信息和教程(包括Xamarin.Forms)。一般情况下,https://shellmonger.com/30-days-of-azure-mobile-apps-the-table-of-contents/还有关于移动应用程序的大量信息。