Azure移动应用程序中的应用程序身份验证。怎么样？

Question

我使用基于以下this文章的Azure移动应用程序的自定义身份验证。

客户端应用程序是科尔多瓦应用

步骤我做：

1. 打开应用程序服务的身份验证
2. 添加Microsoft.Azure.Mobile.Server.Login NuGet包
3. 创建自定义的验证端点
4. 配置服务需要身份验证的CLIE
5. 使用令牌NT

而且它正常工作与[授权]行动方法/控制器属性。

但用户名/密码认证是不够的我。我想要的是确保只有我的移动应用程序（客户端）才能使用托管在Azure端点上的移动应用程序，并且不使用其他人（除用户名/密码外）。所以需要对两种app_id进行验证，可能是基于某种基于散列的消息验证。

我发现所有的文章描述了用户名/密码，或通过Azure的AD租户要么自定义验证。但一个打破其他，而且我不需要Azure AD。

我该如何做到这一点？有一些内置的方法吗？

Answer 1

使用自定义身份验证时，App Service不提供任何内置支持。最接近的是使用Azure Active Directory（AAD）服务主体认证。 AAD支持应用程序身份，并且您可以在登录时检查签名令牌中应用程序的身份。但是，您将无法使用自定义用户名/密码。

否则，我认为最好的办法是让客户端，并验证它只是你的应用程序访问该服务的服务器上的一些共享的秘密。但是，这不被认为是安全的做法。任何下载您的移动应用程序的人理论上都可以提取这个秘密并从任何他们想要的应用程序中使用它，所以如果您出于安全原因需要限制访问权限，则不建议这样做。