您好我想在我创建的.NET Web应用程序下从Web服务请求api密钥(客户端ID,应用程序ID等)。问题是我需要使这个Web服务安全,换句话说,只有wp7上下载的应用程序应该能够请求此Web服务。是否有某种特定于设备的字符串我可以进行身份验证以确保WP7设备正在调用它?
我这样做的原因是万一密钥遭到破坏,我可以在我的网络应用程序中更改它,而无需在应用程序下载到的每个设备上更新应用程序。
有人有关于如何解决这个问题的建议吗?
答案 0 :(得分:2)
任何特定于设备的字符串都可以被欺骗,而WP7今天没有安全的存储方法。常见的方案是从https登录方法返回身份验证令牌,然后将该方法作为加密流存储在设备上。意识到解密密钥和字符串都在设备上,并且如果设备受到危害则可以解密。然后,您可以在需要时使服务器端的身份验证令牌到期,并且令牌可以在一段时间后过期。