没有用户名/密码的 Phonegap 身份验证

Question

我有一个 phonegap 应用程序，我只希望 我的应用程序用户 访问我从中获取数据的 api。

我使用 php 作为后端。

我所做的是我创建了一个密钥并在服务器上验证该密钥。但是密钥在应用程序中是硬编码的，这意味着有人可以查看代码并找出密钥并将其作为参数传递并获得对我不想要的 api 的访问权限。

此外，使用代理也可以看到密钥。

有没有办法在应用程序和服务器上动态生成密钥，以便对其进行身份验证？或者其他方式。

我不希望用户提供任何类型的用户名/密码。

我不希望用户注册或登录..用户在身份验证中没有任何角色..我正在对 应用程序进行身份验证。

Answer 1

是的，当然可以，

但是在你开始之前有几件事。

• 创建一个新的表来存储我们所有的api键 当他们通过注册时为每个用户生成 应用。

PHP端：

• 获取用户密码或任何独特的东西 例如：UDID Andriod，在 IOS 他们对 UDID 的访问受到限制，您可能需要存储一些 钥匙串中生成的唯一ID。
• 然后当我们有密码和UDID你可以把它们 一起（或任何你想要的）并用Sha1（或任何 加密算法）并保存到api密钥表
• 每次请求命中 api 时，您都可以获取 api 密钥 从标头并使用数据库验证并查看。

应用端：

• 当用户通过应用登录如果成功， 将 api 密钥传递给用户并将其保存在应用中以供进一步使用。
• 此外，当您要从 api 请求数据时，您可以 检索 应用内存储的api密钥，然后将其作为请求的标头并发送。

一些额外的东西：

• 您还可以在两侧（服务器和应用程序）创建私钥 然后将其存储在 api 密钥表 并 加密请求 服务器和应用程序只知道使用私钥 两侧存储。
• 您还可以进行高级身份验证，例如 oAuth

Answer 2

使用 SSL/TLS 中流行的算法 RSA。重点是私钥和公钥对。

这是 PHP 的库和示例：

Encrypt and Decrypt text with RSA in PHP

这里是 Javascript 库：

RSA Encryption Javascript

我个人的建议是：在 ram 中协商一个随机密钥存储以供以后使用，而不是使用密钥对进行所有消息交换。因为它对服务器来说是一个高工作量（比客户端多 15 倍）。并且您可以定义一个对象来将会话密钥存储在私有成员中。

funciton keyStoreObject() {
    this.publicKey = ''; //this is public
    var sessionKey = ''; //this is private
    this.negotiate() = function () { sessionKey = 123456; //You can access private sessionKey }
    this.decypt = function (str) {...}; //And write your code here
}

然后创建一个实例：

var keyStore = new KeyStoreObject;
//so now you can
keyStore.negotiate();

关于私人会员，请在此处阅读更多信息： http://javascript.crockford.com/private.html

此外，您需要在服务器端实现会话密钥存储并包括过期时间。对于小型实例，可以使用serialize() 或 SQLite。

实际上，sessionKey 并不完全安全（理论上）。桌面浏览器可以进行 DDoS 攻击。验证码等人工验证可以为您提供帮助。