使用混合移動應用程序進行表單身份驗證

Question

我們是使用IONIC框架和Web Api作爲後端開發android手機應用程序的過程。 我的問題是，使用表單身份驗證和SSL保證手機應用程序的安全性就足夠了。

我們的背景是在Asp.Net Web開發中，我們看不到任何使用混合移動應用程序開發以及表單身份驗證的示例，這讓我想知道我們是否在錯誤的軌道上。

我們在Angular和Web API一側實現了CORS以及WithCredentials，並且在調試模式下，對於所有後續調用，驗證片似乎都能正常工作。

因爲它的手機應用程序，我們是否需要採取額外的安全措施？

編輯：我正在閱讀有關使用Web Api的無記名令牌身份驗證，這是推薦使用手機應用程序的方式嗎？

謝謝！

Answer 1

是的，我的建議是使用不帶表單身份驗證的持票人標記。

您需要使用OAuth 2.0 資源所有者憑證流這意味着最終用戶提供的用戶名/密碼只有一次的特定端點，即（/令牌），然後如果用戶名/密碼有效，你獲得稱爲承載訪問令牌的東西。

此令牌在指定期限內有效，您可以在Web API中對此進行配置。一旦獲得訪問令牌，您需要將其安全地存儲在您的android/hybrid應用程序中，然後使用授權標頭（承載方案）繼續將其每個請求發送給您的web api受保護端點。我寫了非常詳細的帖子，其中涵蓋了100％的場景。請檢查後Token Based Authentication和另一個與AngularJS authentication認證應與您的案件。讓我知道你是否需要進一步的幫助。