Ich bin ein azurblauer Benutzer und verwende den MobileService-Client, um azurblaue Token von oAuth-Provider-Token zu generieren.Azure-Authentifizierung mit oAuth und Tokens
Ich möchte Benutzer sicher lesen/schreiben zu MY API, und es scheint, dass der einzige eindeutige Bezeichner, den es mir gibt, eine Ganzzahl userID ist. Das Token, ein schwieriger zu erratender String, scheint sich jedes Mal zu ändern, wenn ich einen nicht authentifizierten Client erzeuge.
Was ist die beste Vorgehensweise dafür? Könnte jemand einfach einen Client mit meinem Appkey öffnen, die 25-stellige Benutzer-ID erraten und dann meine API anrufen?
Wie kann ich mit dem Token sichere Lese-/Schreibzugriffe auf meine API bereitstellen? Oder ist die Verwendung der Benutzer-ID, https, Verschleierung usw. meine beste Wette? Vielleicht könnte ich ein Tutorial verwenden, wie Tokens funktionieren.
Vielen Dank. Ihr Blog ist gut geschrieben und es wird sehr nett sein, als eine Ressource zu verwenden. Wenn Sie Zeit haben zu antworten, möchte ich Ihnen eine oder zwei Fragen stellen, um mir Kopfschmerzen zu ersparen ... –
Grundlegende Frage von mir, aber was meinen Sie mit "Behauptungen, die die JWT unterstützen"? Bedeutet das einfach, dass ich den von getIdentity() auf meinem Server zurückgegebenen Wert verwenden sollte, um das eindeutige Token zu erhalten, das ich möchte? –
Wenn ein Identity Provider das Token zurückgibt, wird es im Allgemeinen als JWT - Json Web Token formatiert (siehe jwt.io) - in diesem sind bestimmte Ansprüche - Dinge wie "diese Benutzer Email Adresse ist X" - definiert als JSON Blob. Sie können sehen, was der Dienst beim Aufruf von GetIdentityAsync <>() zurückgibt, indem Sie die Informationen in /.auth/me nach der Authentifizierung überprüfen (die URL ist relativ zu Ihrem azure-Service). –