です。ユーザー名とパスワードが必要なシステムがないアプリを実装しています。私が必要とするのは名前と電話番号です。この署名ベースの携帯端末向け認証のセキュリティーは
シナリオは、このようなものです:
1)ユーザーは、今からユニークUSERキー
3)
2)アプリは私のサーバーに要求を行う初めてのアプリを開いて取得しますアプリが自分のRESTサービスに行うリクエストにも署名が付いています。署名は、実際にはSHA(USERキー:要求Base64Encodedに提供されたデータ)である:
- ない証明書
- のために支払うことを喜んで、私は、パスワードなどの機密データを送信する必要はありませんので、私は、私はちょうど私の自身のWCFのRESTを呼び出すための簡単な方法を必要とする
- それを使用することの利点が表示されません自社アプリからのサービス
4)サーバも署名
を確認するために、同じハッシュを実行し、私はSSHを使用しない理由
私は、ステップ2でUserKeyがクリアテキストになるとセキュリティの流れがあることを理解していますが、これはアプリを最初に開いたときに一度だけ発生します。これはどれくらい危険だと思いますか?
お勧めですか?私に役立つ.NETライブラリがありますか?