2016-04-08 10 views
0

私は晴れのユーザーで、oAuthプロバイダートークンからAzureトークンを生成するためにmobileserviceクライアントを使用しています。oAuthとトークンを使用したAzure認証

私はユーザーにMY APIを安全に読み書きさせたいと思っています。私に与えられた唯一の一意の識別子は整数userIDです。トークンは、推測が困難な文字列で、認証されていないクライアントを生成するたびに変わるようです。

これを実行するベストプラクティスは何ですか?誰かが私のappkeyでクライアントを開き、25文字のユーザーIDを推測してから、私のAPIを呼び出すことができますか?

私のAPIに安全な読み書きを提供するためにトークンを使用するにはどうすればよいですか?または、ユーザーID、https、難読化などを使用していますか?たぶん私はトークンの仕組みに関するチュートリアルを使うことができます。

答えて

0

ここには2個または3個のピース​​があります。

1)OAuthプロバイダ(Facebook、Googleなど)が暗号で署名されたJSON Webトークン(JWT)を提供している可能性があります。 2)ZUMOトークンは同様にJWT - 暗号で署名され、信頼できる 3)あなたは(Node.jsのサーバーSDK getIdentity(と呼ばれることにより、JWTを支持している請求)にJWTを変換することができます)、またはGetIdentityAsync <>(ASP.NETサーバーSDK)

あなたは私にいくつかの情報を見つけることができますブログ:https://shellmonger.com/2016/04/08/30-days-of-zumo-v2-azure-mobile-apps-day-5-custom-authentication/ - 私はAzure Mobile Appsの認証について議論する途中です。

+0

ありがとうございます。あなたのブログはよく書かれており、リソースとして使用するのはとても良いことです。あなたが答えられる時間があれば、私はあなたに頭痛を救うために1つまたは2つの質問をしたいと思います... –

+0

私からの基本的な質問ですが、「JWTを支持している主張」はどういう意味ですか?これは、私が望む独自のトークンを取得するために私のサーバ上でgetIdentity()によって返された値を使用する必要があるということですか? –

+0

アイデンティティプロバイダがトークンを返すとき、それは一般的にJWT - Json Webトークン(jwt.io参照)としてフォーマットされます - 特定のクレーム - JSONブロブとして定義された "このユーザの電子メールアドレスはX"のようなものです。認証後に/.auth/me内の情報を確認することで、サービスがGetIdentityAsync <>()呼び出しで返される内容を見ることができます(URLはあなたの晴れたサービスに関連しています) –

関連する問題