草庐IT

iphone - 如何在没有用户名和密码的情况下验证移动应用程序?

coder 2023-12-20 原文

我正在构建一个使用 OpenId 来验证用户身份的 Web 应用程序,就像 Stackoverlfow 所做的那样。也会有一个移动应用程序,例如安卓或 iPhone。这些应用程序必须以某种方式进行身份验证或登录,以访问数据和更新属于用户的内容。由于没有可以提供的用户名和密码来验证移动设备,我想知道如何实现这一点。

我想到了两种方法:

  1. 在服务器上生成一些必须在设备上输入的 key 。当移动设备发送或请求数据时,此 key 将作为 auth-key 发送,并且可以通过这种方式链接用户。使用此选项时,应以某种方式将 key 传输给用户,这样他就不必输入。可能通过电子邮件、短信或扫描条形码。

  2. 移动应用程序使用浏览器或显示一个集成的 Web 面板,用于打开 Web 应用程序的特殊页面。在此页面,用户必须登录,然后才能允许移动应用程序读取和写入数据。

我的问题是:这两种方法都可行且安全吗?你更喜欢哪一个?需要注意哪些细节?还有其他方法可以做到这一点吗?如果我没问题,就不可能在设备上使用 OpenId,并以这种方式链接移动设备和 Web 应用程序,对吗?

最佳答案

为了实现这一目标,我做了以下工作:

  • 当应用程序第一次启动时,我测试是否 有一个身份验证 token ,并且 如果仍然有效
  • 如果没有,我使用 [startActivityForResult][1] 打开我的登录 Activity
  • LoginActivity 使用 WebView并从 Web 应用程序打开“验证应用程序”页面(例如 https://www.yourdomain.com/authapp)。
  • 如果用户没有登录到 webapp,他必须现在就登录。成功登录后,他将被重定向到“验证应用程序”页面
  • “验证应用程序”页面包含文本“您是否希望移动应用程序访问您的数据”以及“授权”和“取消”按钮。
  • 如果用户点击“授予”,Web 应用程序会生成身份验证 token ,将其写入数据库并重定向到响应页面,将生成的身份验证 token 附加到 URL(例如 https://www.yourdomain.com/authresponse?auth_token=dshf84z4388f4h)

  • 移动应用程序从 URL 中提取 token ,并在与服务器通信时使用它进行身份验证。

    WebLogin Activity 如下所示:(注意:您必须重写“shouldOverrideUrlLoading”才能保持在同一个 WebView 中。否则,当您收到一些重定向时,将打开一个新的浏览器)

    公共(public)类 WebLogin 扩展 Activity {

    @覆盖 protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState);

    WebView webview = new WebView(this);
webview.setWebViewClient(new WebViewClient() {  

    @Override  
    public boolean shouldOverrideUrlLoading(WebView view, String url){
        view.loadUrl(url);
        return true;  
    }  

    @Override
    public void onPageFinished(WebView view, String url) {

        if(StringUtils.contains(url, "?auth_token=")){

            // extract and save token here

            setResult(RESULT_OK);
            finish();
        }
    }
});

webview.loadUrl("https://www.yourdomain.com/authapp");
webview.getSettings().setJavaScriptEnabled(true);
setContentView(webview);

    }

请注意,我使用 https 进行此保存。如果您使用纯 http,则可以读取并窃取用户的 token 。

[1]: http://developer.android.com/reference/android/app/Activity.html#startActivityForResult(android.content.Intent , 整数)

关于iphone - 如何在没有用户名和密码的情况下验证移动应用程序?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3665289/

何在iphonesectionandroidtokenauthenticationmobileweb-applications

有关iphone - 如何在没有用户名和密码的情况下验证移动应用程序?的更多相关文章

  1. ruby - 如何在 Ruby 中顺序创建 PI - 2

    出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits

  2. ruby - 将差异补丁应用于字符串/文件 - 2

    对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl

  3. ruby - 如何在 buildr 项目中使用 Ruby 代码? - 2

    如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby​​

  4. ruby - 什么是填充的 Base64 编码字符串以及如何在 ruby​​ 中生成它们? - 2

    我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%

  5. ruby - 难道Lua没有和Ruby的method_missing相媲美的东西吗? - 2

    我好像记得Lua有类似Ruby的method_missing的东西。还是我记错了? 最佳答案 表的metatable的__index和__newindex可以用于与Ruby的method_missing相同的效果。 关于ruby-难道Lua没有和Ruby的method_missing相媲美的东西吗?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/7732154/

  6. ruby-on-rails - 如何在 ruby​​ 中使用两个参数异步运行 exe? - 2

    exe应该在我打开页面时运行。异步进程需要运行。有什么方法可以在ruby​​中使用两个参数异步运行exe吗?我已经尝试过ruby​​命令-system()、exec()但它正在等待过程完成。我需要用参数启动exe,无需等待进程完成是否有任何ruby​​gems会支持我的问题? 最佳答案 您可以使用Process.spawn和Process.wait2:pid=Process.spawn'your.exe','--option'#Later...pid,status=Process.wait2pid您的程序将作为解释器的子进程执行。除

  7. ruby-on-rails - Rails 应用程序之间的通信 - 2

    我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此

  8. ruby - 无法运行 Rails 2.x 应用程序 - 2

    我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby​​:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r

  9. ruby-on-rails - rails 目前在重启后没有安装 - 2

    我有一个奇怪的问题:我在rvm上安装了ruby​​onrails。一切正常,我可以创建项目。但是在我输入“railsnew”时重新启动后,我有“程序'rails'当前未安装。”。SystemUbuntu12.04ruby-v"1.9.3p194"gemlistactionmailer(3.2.5)actionpack(3.2.5)activemodel(3.2.5)activerecord(3.2.5)activeresource(3.2.5)activesupport(3.2.5)arel(3.0.2)builder(3.0.0)bundler(1.1.4)coffee-rails(

  10. ruby - 默认情况下使选项为 false - 2

    这是在Ruby中设置默认值的常用方法:classQuietByDefaultdefinitialize(opts={})@verbose=opts[:verbose]endend这是一个容易落入的陷阱:classVerboseNoMatterWhatdefinitialize(opts={})@verbose=opts[:verbose]||trueendend正确的做法是:classVerboseByDefaultdefinitialize(opts={})@verbose=opts.include?(:verbose)?opts[:verbose]:trueendend编写Verb

随机推荐