私はWindows Mobile 6携帯電話アプリケーションを作りたいと思っています。このアプリケーションは、私が作成したいWebサービスと対話します。Webサービスと携帯電話の認証方法
携帯電話のWebサービスやプログラミングアプリについてよく分かりませんので、いくつか質問があります。
認証方法を教えてください。私のユーザーが私のアプリを読み込んでログインページに行くのと同じように。彼らは資格情報を入力します。これはサーバーに送信され、認証されます。今私は何を返すのですか? FormsAuthenticationのいくつかの並べ替えはありますか?
ログイン後、ログインしているかどうかチェックし続けなければなりませんか? asp.net mvcのように私はすべてのタグにAuthorizeAttributesを持っています。そうすれば、誰もそのアクションメソッドへのURLを入力してアクセスすることはできません。しかし、これはアプリケーションなので、ログインフォーム(最初のフォーム)に行ってからログインしなくても、メインフォーム(ログインフォームの後のフォーム)にアクセスできるかどうかわかりません。
ウェブサービスには、asp.net mvcのような承認タグがありますか?私はおそらく、Webサービスのパスを自分のWebブラウザーに誰も型付けしないように、これらの行に沿って何かが必要なので、私が作成したすべてのメソッドにアクセスできます。
私はasp.net mvcアプリケーションを今作成しています。ユーザーが自分のサイトに資格情報を入力したときです。私は平文であると推測しているのですか?サーバーにハッシュしてチェックします。私はたぶん、ある日、SSLをより安全にするために余裕があると知っています。
私の質問は、電話機からサーバーに送信することで、私のウェブサイトのセキュリティよりも安全性が低くなりますか?ほぼ同じ?それをより安全にするために何ができるのですか(もうSSLですか?)。
おかげ
私はすべてのアクションで常に資格情報を送信する必要がありますか?私はあなたが新しいwebServiceObjectを作ったのを見ています。そう、私は私の電話アプリケーションで別のフォームに行って、新しいwebserviceオブジェクトを作ると言う。資格情報を再送信する必要がありますか? – chobo2
資格情報ではなく、認証トークンのみを送信することもできます。この場合、まずWebサービスにトークンが(SOAPヘッダーまたは通常のWebメソッドのパラメータとして)資格情報を渡すように要求し、後で他のすべてのWebメソッド呼び出しに対して単一のプロパティ(トークン)を持つ別のSOAPヘッダーを使用します。この方法では、メソッド署名からセキュリティを保護しながら、他の呼び出しにSSLを使用する必要はありません。 –
認証トークンとは何ですか?それをどのように生成するのですか?この認証にロールチェックを追加する場合はどうなりますか。 3つのロールがあり、いくつかのメソッドは特定のロールでしか使用できません。だから私はそれもチェックしなければならないだろう。 – chobo2