Windows 7 Phone应用程序存储凭据的最佳方式

Question

我正在寻找将用户凭据存储在Windows 7手机应用程序中的最佳做法。我正在为需要验证的Web服务编写应用程序。谢天谢地，这只是基本认证。什么是存储这些凭证的最佳方式？

Answer 1

在您的案例中存储凭据的最佳方式是加密它们并存储在特定于应用程序的独立存储中 - 基本上，它不能被任何其他应用程序访问，因此可以提供另一个保护层。

Answer 2

通过怎样加密的独立存储你的数据罗布蒂芙尼一个很好的解释可以在这里找到：

Don’t forget to Encrypt your Windows Phone 7 Data

我还没有尝试过的代码自己，所以不能保证它的正确性（抱歉Rob :-) - 尽管如此，我应该想象一下，这应该是一个很好的起点。

我也是第二丹尼斯关于应用程序特定的隔离存储的观点，除了加密之外，还为您提供额外/基本的保护层，理论上至少其他应用程序无法访问您的应用程序隔离存储。

Answer 3

就安全性而言，最好的做法是尽可能避免存储用户凭证。 MSDN states：

应用往往要求用户 提供用户名和密码 用作凭据进行身份验证 与Web服务或 网站的用户，但如果每次都这样做 的应用运行，用户可以 变得恼火。

强烈建议，您的用户名申请 迅速和 每个 需要他们从用户的时间你的应用程序密码;如果您 尝试将凭据保存在 手机上，那么如果Windows Phone丢失或 被盗，您可能会将这些凭证暴露给恶意应用程序 。

其实，在对方的回答中提到的数据加密教程，罗布蒂芙尼使得similar disclaimer：

OS不包括用于存储你的密码和 盐值安全也不框架 支持呢它来与 与任何类型的内置密钥 管理。这意味着 确保您的加密数据的唯一方法是 实际上是安全的，永远不会存储您的密码，盐值或 电话上的 键。

...

如果你看到在Windows 电话市场，让您 缓存您的凭据或密钥本地 为了方便应用程序，注意，这些 并不安全解决方案，因为 一切黑客需要获得在 您的数据就在代码 或独立存储中。

加密对提高酒吧是有好处的，但这并不能真正保护知识渊博的黑客凭据。可用性有时会带来安全性，但是你应该知道加密技术不能解决这种情况下的核心问题（也许让用户意识到这种风险）。

Answer 4

您应该使用ProtectedData class来安全地存储各种机密信息。

了解更多How to: Encrypt Data in a Windows Phone Application