保护来自移动设备的身份验证

Question

我们已经开始阅读本教程，以使用Windows Azure中的新通知中心：

http://www.windowsazure.com/en-us/manage/services/notification-hubs/notify-users-aspnet/

在某一时刻，它指定了一条警告，声明：

“安全注释AuthenticationTestHandler类不提供真正的身份验证。它仅用于模拟基本身份验证并返回原则。创建通知中心注册需要用户名。以上实现不安全。您必须在生产应用程序和服务中实现安全身份验证机制。”

有没有人能建议一种在windows phone，android和iOS上都能工作的好方法来保护它。我们不能使用facebook，google，twitter等内置的身份验证，因为它需要使用我们自己的身份验证后端。

非常感谢您的帮助。

Answer 1

要实现跨平台身份验证，最好使用像OAuth2这样的标准。

OAuth2允许您

• 在服务器端的一个地方处理登录。
• 您的客户端只能获得所需的少量帐户信息。对客户端隐藏密码是可能的(但在移动应用程序中不常见)。每个客户端都有自己唯一的访问令牌。
• 通过在服务器端撤消访问令牌来远程删除访问。

对于实现：

• Apache Oltu是一个用于OAuth2身份验证的Java框架(服务器和客户端support).
• Udi wrote a very good tutorial for Android authentication.