私は晴れのユーザーで、oAuthプロバイダートークンからAzureトークンを生成するためにmobileserviceクライアントを使用しています。oAuthとトークンを使用したAzure認証
私はユーザーにMY APIを安全に読み書きさせたいと思っています。私に与えられた唯一の一意の識別子は整数userIDです。トークンは、推測が困難な文字列で、認証されていないクライアントを生成するたびに変わるようです。
これを実行するベストプラクティスは何ですか?誰かが私のappkeyでクライアントを開き、25文字のユーザーIDを推測してから、私のAPIを呼び出すことができますか?
私のAPIに安全な読み書きを提供するためにトークンを使用するにはどうすればよいですか?または、ユーザーID、https、難読化などを使用していますか?たぶん私はトークンの仕組みに関するチュートリアルを使うことができます。
ありがとうございます。あなたのブログはよく書かれており、リソースとして使用するのはとても良いことです。あなたが答えられる時間があれば、私はあなたに頭痛を救うために1つまたは2つの質問をしたいと思います... –
私からの基本的な質問ですが、「JWTを支持している主張」はどういう意味ですか?これは、私が望む独自のトークンを取得するために私のサーバ上でgetIdentity()によって返された値を使用する必要があるということですか? –
アイデンティティプロバイダがトークンを返すとき、それは一般的にJWT - Json Webトークン(jwt.io参照)としてフォーマットされます - 特定のクレーム - JSONブロブとして定義された "このユーザの電子メールアドレスはX"のようなものです。認証後に/.auth/me内の情報を確認することで、サービスがGetIdentityAsync <>()呼び出しで返される内容を見ることができます(URLはあなたの晴れたサービスに関連しています) –