أفضل طريقة لخلق نظام TOKEN لمصادقة المكالمات خدمة الإنترنت؟
https://stackoverflow.com/questions/1432664
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأود أن إنشاء بنية خدمة الإنترنت التي يمكن استدعاؤها من قبل مختلف المنصات مثل الأجهزة النقالة، WinForms عناصر تطبيقات، اي فون، وبلاك بيري، سمها ما شئت. حتى الذهاب مع شيء من هذا القبيل WCF وwsHttp ملزمة ربما يقتل هذا وأود أن الحاجة إلى الرجوع إلى وbasicHttp ملزمة من أجل التوافق.
وقال مع ذلك، أنا في حاجة الى نظام لتوليد مميز على تسجيل الدخول الأولي (مصادقة) ومن ثم استخدام هذا الرمز المميز لجميع المكالمات اللاحقة، أعتقد، للتحقق من صحة التوثيق والسماح للطريقة لتنفيذه.
وأي شخص لديه نصائح او اقتراحات حول كيفية التوجه نحو هذا؟ 1) توليد عربون وما تشارك في عربون آمنة؟ 2) كم هو حسن رمزي ل، قد يكون بعض المستخدمين استخدام تطبيقها لساعات وربما حتى "النوم" أجهزة الكمبيوتر الخاصة بهم
وشكرا على النصيحة.
المحلول
إذا كنت فقط باستخدام رمز واحد والتي تعطى من قبل الملقم على المصادقة الأولية، ويمكن استخدامها في أي طلب ما اذا كان اعتراضها. دفاعك الوحيد هو وقت انتهاء الصلاحية.
وأبعد من ذلك، فإنه يعتمد على ما هي الخيارات التطبيق الخاص بك.
وهناك نظام أكثر أمنا لإضافة طابع زمني (وربما حالية) لكل طلب، توقع ذلك، ويشمل ذلك مع كل طلب. ويتطلب ذلك أن العميل يتعامل مع أوراق اعتماد المصادقة، يعلم تنفيذ التوقيع، وعلامات كل طلب.
هل يمكن أن يكون بالتناوب خادم مصادقة مع كل طلب (والذي يمكن القيام به مع رض) أو بتوزيع عدد من الرموز وإعادة مصادقة-عندما تكون هناك حاجة أكثر (والذي يمكن القيام به مع أوث). إذا كان العميل يمكن تخزين أوراق اعتماد، هذه يمكن أن تكون غير مرئية للمستخدم. هذه هي أكثر تعقيدا، تتطلب نقل مشفرة مثل SSL لبعض التفاعلات، والعميل الذي يمكن التحدث الموجهات HTTP والتعامل مع الكوكيز أو غيرها من حالة مخزنة. ان العميل لم يكن لديك لمعرفة كيفية تسجيل، ولكن إذا كنت تستطيع أن تفعل SSL، وربما كنت لا تحتاج إلى تعقيد في المقام الأول.
إذا كنت لا تحتاج إلى أن يكون العميل الملحد، ربما كنت ترغب في توقيع الطلبات.
لتطبيقات التوقيع، والأمثلة، والمكتبات، والنظر في الأمازون خدمات ويب، رض، أو أوث.
وفيما يتعلق وقت انتهاء رمزيا، فإنه يعتمد على احتياجاتك. حياة أطول رمزية يزيد من الهجمات نافذة اعادتها. A حالية يجعل تستخدم مرة واحدة رمزية، ولكن يتطلب المزيد من الدولة على الخادم.
نصائح أخرى
ويجب عليك التحقق من أوث . انها معيار للمصادقة API، ربما يمكنك فقط لسد التنفيذ الموجودة في الخدمة الخاص بك.
