iOS/Android身份验证和安全

Question

下面是我要做的事情，有人能为身份验证和安全提供一些最佳实践建议吗？

每个用户都将在云上拥有自己的私有数据库。他将在iOS/Android上安装本地couchdb。我的iOS/Android应用程序将在移动和云之间复制。用户也可以从网络上访问云上的数据。我正在使用CouchDB身份验证，没有中间层。当用户注册一个新帐户时，我将在云中创建一个新的数据库，并使用他的帐户名。我比较了Iris Couch和Cloudant，并选择了Iris Couch，因为Cloudant没有给我管理员特权来实现这一点。

我的问题：

1. iOS/Android/Web客户端在注册新用户帐户时拥有创建新数据库的管理权限是个好主意还是可能的呢？我可以在iOS/Android客户端上对管理员用户名和密码进行硬编码，但这感觉非常错误。对于web客户端，我将完全没有硬编码管理密码的选项。或者，我可以在云中设置一台新机器来监视_users数据库的更改，并相应地创建新的数据库。
2. 我应该使用用户的证书在移动和云之间进行复制吗？
3. 我正在使用Iris Couch主持。将Facebook身份验证集成到我的身份验证模型中的最佳方法是什么？我看到了这个插件，但它是否需要我自己托管并对服务器进行更改？

https://github.com/sander/CouchDB-Facebook-Authentication

出于好奇，我还看了Cloudant主持。但看起来我无法创建CouchDB用户并支持我的数据库-每个用户模型。我没有_user数据库的管理员权限。

Answer 1

1. 不是的。不应该将管理凭据硬编码到客户端代码中。您是否考虑过运行一个其公共接口完全支持一个操作(create_new_user)的服务器？或者在数据库中实现存储过程以支持此操作(如果CouchDB支持存储过程)？
2. 我不明白你在问什么。也许还需要更多的解释？
3. 我不知道。

既然你有三个问题，我建议分开问。我认为这样你更有可能得到有用的回应。