Mobil arkadaş (başlangıçta sadece iPhone) sahip olacak bir web sitesi tasarlıyorum. Web sitesi ASP.NET MVC 3 uygulama olacaktır. Ayrıca iPhone uygulaması hizmetleri duyurmak için ASP.NET API Web sitesi (MVC 4) alacağım. İPhone uygulaması kendi form kullanıcı adı ve şifre yakalamak ve JSON başlıklarında, web API için gönderir.

Düşündükten sonra bir daha baştan güvenliği dikkate almak istiyorum.Herhangi bir güvenlik uzmanı değilim.Diğer web hizmetinden mobil uygulama bir istemci kimlik doğrulaması kullanma nasıl olduğunu görmek için araştırma iyi bir anlaşma yaptım. Üçüncü parti oAuths için takma içermeyen iyi bir çözüm buldum sanırım.

Büyük ölçüde herhangi sunabileceği her türlü görüş, öneri, eleştiri ve genel WTFs memnun olurum. :)

Benim en büyük endişeleri vardır:

1. Arama yapılan web API sağlamak yetkilidir
2. Replay saldırıları riski (dolayısıyla aşağıda çağrıları zaman) en aza indirmek

İPhone uygulaması gibi gelişmiş olacaktır:
İki dize iPhone uygulaması (her kullanıcı için aynı değerleri) içine kodlanmış

1. Uygulama KİMLİĞİ
   Bu web API (iPhone, Android, Windows phone, vb) erişen istemci türünü tanımlamak için kullanılan bir dize.
   
2. Başvuru Tuz Karma
   Bu kullanıcı-agnostik istekleri için tuz sağlamaları için kullanılan bir dize.

İki dize iPhone uygulaması yerel veritabanı (değerleri her kullanıcı için benzersiz) saklanır:

1. Kullanıcı Erişim Belirteci API
   Bu bir dize (token) başarılı kimlik doğrulaması sonrasında web API tarafından müşteriye sağlanan ve istemcinin her isteğinde kullanıcı adı ve şifre göndermeden web API erişim sağlar.
   
2. Kullanıcı Tuzu Karma
   Bu istekleri kurulan kullanıcı hesapları karşı yapılan karma tuz için kullanılan bir dize.

İPhone şu şekilde: web API çağrıları yapar

API Yöntemi: Hesap Oluşturun
İstemci Gönderir:

• Yeni Hesap bilgileri (Kullanıcı Adı, Şifre, Ad, Soyad, vb.)
• Uygulama KİMLİĞİ
• UTC zaman Damgası
• UTC karma Uygulama KİMLİĞİ Uygulama Karma Tuzu ile tuzlanmış zaman Damgası

API Verir:

• Yeni Kullanıcı Karma Tuz
  
  Buradaki fikir, oluştururken bir hesap, kullanabilirim uygulamanın kodlanmış tuz değil büyük bir güvenlik riski varsa o tuz duyulursa (yazılım ya da başka bir şekilde).
  
  Ama ve kullanıcının veri erişimi değiştirme yöntemleri için başkalarını taklit etmek için bir saldırgan tarafından kullanılabilir. böylece sadece o kullanıcıya ait bir tuz kullanacağım.

API Yöntemi: Hesap
(Web sitesinde oluşturulan hesaplar için Kullanıcı karma tuz almak için kullanılan ama henüz iPhone üzerinde senkronize olmadı Bu bir kullanıcı, iPhone giriş yapın ve kullanıcı adı için kayıt algılar, iPhone çalıştığında olur.)

İstemci Gönderir:

• Kullanıcı adı
• Parola () Uygulamanın Karma Tuz ile karıştırılır
• Uygulama KİMLİĞİ
• UTC zaman Damgası
• UTC karma Uygulama KİMLİĞİ Uygulama Karma Tuzu ile tuzlanmış zaman Damgası

API Verir:

• Mevcut Kullanıcı Tuzu Karma

API Yöntemi: (Kimliğini) Oturum açın
İstemci Gönderir:

• Kullanıcı adı
• Parola (Kullanıcı Karma Tuz ile karıştırılır)
• Uygulama KİMLİĞİ
• UTC zaman Damgası
• UTC karma Uygulama KİMLİĞİ Kullanıcı Karma Tuzu ile tuzlanmış zaman Damgası

API Verir:

• Kullanıcı Erişim Belirteci API

API Yöntem: Komut (Oluşturma Sonrası, Güncelleme Profil, Mesajlar, vb... gibi)
İstemci Gönderir:

• Komut Veri
• Kullanıcı Erişim Belirteci API
• Uygulama KİMLİĞİ
• UTC zaman Damgası
• UTC zaman Damgası Uygulama KİMLİĞİ API Kullanıcı Erişim Belirteci karma Kullanım Karma Tuz ile tuzlu

VS 2013 kullanabileceğiniz "Asp MVC SPA Uygulaması" şablon oluşturmak için çalışan bir uygulama olduğunu getirici bir Oauth2 token taşıyıcı oturum açma ve yetkilendirme için WebApi denetleyicisi çağrılarını kullanarak [Yetki] bağlıyor. Mağaza kullanıcıları için Üyelik ve Varlık Çerçevesi kullanır ve yerel olarak SQL Server karıştırır. Sadece silmek ve Auth WebApi için bölüm yok mu asp mvc parçaları. Daha fazla detay: http://msdnrss.thecoderblogs.com/2013/09/understanding-security-features-in-the-spa-template-for-vs2013-rc/