우리는 IONIC 프레임 워크와 웹 API를 백엔드로 사용하여 안드로이드 폰 앱을 개발하는 과정입니다. 제 질문은 전화 앱을 안전하게 유지하기 위해 SSL과 함께 폼 인증을 사용하는 것으로 충분합니까?하이브리드 모바일 앱을 이용한 폼 인증
우리의 배경은 Asp.Net 웹 개발에 있으며 하이브리드 모바일 응용 프로그램 개발과 함께 폼 인증을 사용하는 예제는 볼 수 없으므로 잘못된 트랙에 있는지 궁금합니다.
우리는 Angular 및 Web API 측면에서 WithCredentials와 함께 CORS를 구현했으며 인증 조각은 디버그 모드에서 모든 후속 호출에 대해 정상적으로 작동하는 것으로 보입니다.
전화 앱이므로 보안을위한 추가 조치가 필요합니까?
편집 : 웹 API를 사용하여 무기명 토큰 인증에 대해 읽었습니다. 전화 앱과 함께 사용하는 것이 좋습니다.
감사합니다.
예 제가 권장하는 것은 폼 인증이 아닌 무기명 토큰과 함께가는 것입니다.
당신은 최종 사용자가 한 번만 즉, 엔드 포인트 특정 (/토큰) 다음 사용자 이름/암호 유효한 경우에하는 것은 당신이 얻을 수의 사용자 이름/암호를 제공한다는 의미 2.0 자원 소유자 자격 증명 흐름의 OAuth를 사용해야합니다 베어러 액세스 토큰 (bearer access Token)
이 토큰은 지정된 기간 동안 유효하며 웹 API에서이 토큰을 구성 할 수 있습니다. 액세스 토큰을 얻은 후에는 안드로이드/하이브리드 응용 프로그램에 안전하게 저장해야합니다. 그러면 권한 부여 헤더 (베어러 스킴)를 사용하여 웹 API를 통해 보호 된 끝점으로 각 요청을 전송합니다. 귀하의 시나리오 100 %를 다루는 매우 자세한 게시물을 작성했습니다. 게시글 Token Based Authentication과 인증 용 AngularJS authentication을 확인하십시오. 귀하의 케이스와 함께 사용할 수 있습니다. 추가 도움이 필요하면 알려주세요.
사실 나는 심지어 당신의 기사를 읽은 후에 무기명 토큰에 대해서 생각했습니다! 빠른 질문, asp.net ID 대신 내 자신의 테이블을 사용할 수 있습니까? 감사 ! – user636525
자신의 DB 저장소를 사용하여 사용자 자격 증명의 유효성을 검사 할 수 있지만 강조 표시된 코드의이 부분을 사용자 지정 논리로 바꿔 사용자 DB 저장소에 액세스해야합니다. https://github.com/tjoudeh/AngularJSAuthentication/blob/master/AngularJSAuthentication.API/Providers/SimpleAuthorizationServerProvider.cs#l-87-96 –
감사합니다! 나는 당신의 포럼에 가입했습니다 :) – user636525