我正在开发使用WCF服务(通过HTTPS)的Android应用。 所有内容都托管在本地 ,并且该应用无法用于外部网络。对于身份验证,我使用内部用户名/密码对实现了自己的身份验证系统,该系统的安全性不是很高。
我希望WCF服务能够使用AD帐户(最好基于令牌)对Android客户端应用进行身份验证。您对WCF服务和Android应用程序有何建议? 我不希望有完整的代码,但是有一些关于服务器端(WCF)和客户端(Android应用程序)的说明。
预先感谢您的建议。
PS:貌似“嗨,早上好...”的介绍已被自动删除...
答案 0 :(得分:2)
我建议您使用“客户端证书”进行身份验证。
基本上,您的android应用需要具有由证书颁发机构生成的“客户端证书”-如果您具有AD,则应在您的公司中。
您可能喜欢此解决方案,因为您可以使用IIS客户端证书映射-它会将您的客户端证书映射到您的AD帐户。
缺点? 您需要向手机提供“客户证书”。
这可以实现:
这并不容易-但肯定比自定义用户/密码更安全。
Android and Client Certificates https://blogs.msdn.microsoft.com/asiatech/2016/08/22/how-to-create-an-iis-website-that-requires-client-certificate-using-self-signed-certificates/