Обеспечение безопасности аутентификации с мобильных устройств

Question

Мы начали искать в этом уроке, чтобы использовать новые уведомления ступицу в Windows Azure:

http://www.windowsazure.com/en-us/manage/services/notification-hubs/notify-users-aspnet/

В один момент он задает следующее предупреждение:

«Примечание по безопасности Класс AuthenticationTestHandler не обеспечивает подлинную аутентификацию. Он используется только для имитации базовой аутентификации и возврата принципа. Имя пользователя требуется для создания регистраций Notification Hub. Вышеупомянутая реализация небезопасна. Вы должны реализовать безопасный аутентификатор по механизму в ваших производственных приложениях и услугах ».

Может ли кто-нибудь предложить хороший способ защитить это, что будет работать с телефоном Windows, Android и iOS. Мы не можем использовать встроенную аутентификацию, такую ​​как facebook, google, twitter и т. Д., Так как она должна использовать наш собственный сервер аутентификации.

Большое спасибо за помощь.

Answer 1

Чтобы реализовать кросс-платформенную аутентификацию, лучше всего использовать стандарт, например OAuth2.

OAuth2 позволяет

• ручкой логинов в одном месте на стороне сервера.
• Ваши клиенты получают как можно меньше информации о счете. Можно скрыть пароль от клиентов (в то время как они не распространены в мобильных приложениях). Каждый клиент получает свой уникальный токен доступа.
• Удаленный доступ удаленно, отменив токены доступа на стороне сервера.

Для реализации:

• Apache Oltu является Java Framework для проверки подлинности oauth2 (сервера и поддержки клиентов).
• Udi wrote a very good tutorial for Android authentication.