移动设备的最佳实践身份验证
Posted
技术标签:
【中文标题】移动设备的最佳实践身份验证【英文标题】:Best practice authentication for mobile 【发布时间】:2012-06-06 16:28:48 【问题描述】:我开发了一个网站,该网站的某些部分需要用户注册和身份验证。现在我正在寻找一种最佳实践来从连接到服务器的移动应用程序中实现注册和身份验证。此应用程序将使用 json 与服务器进行通信。我在考虑 HTTP 摘要,但我想听听其他人的意见。
仅作记录,服务器是用 Grails (groovy) 编写的,并使用 Spring Security 进行身份验证。
【问题讨论】:
【参考方案1】:基本上你应该将“j_username”和“j_password”发布到“/j_spring_security_check?ajax=true”。
spring-security 插件安装了一个 LoginController,查看它以查看基于 ajax 登录的默认公开操作。
有关流程和代码示例的更深入信息:grails-spring-security-core
【讨论】:
我了解 Spring Security,我担心的是安全性和 CSRF 攻击。发布到 j_spring_security_check 意味着明文密码和没有 CSRF 令牌(因为我无法在客户端应用程序上生成它。 当然,接收纯文本密码的url以及任何基本的auth保护资源都应该在https下。关于 CSRF,SS 支持多因素身份验证,因此也许您可以使用两步身份验证过程。以上是关于移动设备的最佳实践身份验证的主要内容,如果未能解决你的问题,请参考以下文章
通过安全令牌进行 API 身份验证的最佳实践(Node.js 服务器和移动应用程序)