Ich schreibe einen Server verwendet ASP.NET Web API-Vorlage und Implementierung Rest-Dienste. Dieser Server ist ein Backend für ein mobiles Spiel, in dem die Highscores, Fortschritte und andere Informationen der Benutzer gespeichert werden. Ich habe mir eine Reihe von Ansätzen angesehen (this, this und this) und ich habe Probleme zu entscheiden, welchen Ansatz ich verwenden soll. In meinem Fall möchte ich Betrug vor allem verhindern, da jedes Benutzerkonto begrenzte Informationen (außerhalb seiner E-Mail) enthält. Hier wäre, was im Idealfall passieren würde.Authentifizierung und Autorisierung mit REST und ASP.NET Web API von plattformübergreifenden mobilen Anwendungen
- Benutzer öffnet App zum ersten Mal
- Benutzer angegeben wird Option für individuelle Benutzernamen und dies wird durch Server überprüft, so gibt es nicht
- Benutzer dupliziert wird eine zufällig generierte sechsstellige PIN-Nummer gegeben (so können sie das gleiche Konto auf verschiedenen Telefonen verwenden)
- Benutzer gibt E-Mail-Adresse
- Neuer Benutzer auf Server erstellt wird (Server überprüft, dass das Konto durch eine gültige Instanz von meinem Client-Anwendung) 0 erstellt wurde
- Benutzer spielt Spiel, uploads Ergebnisse (Über grundlegende Authentifizierung?)
- Benutzer können globale Ergebnisse (keine Sicherheit auf GET-Methoden anzuzeigen, die nicht benutzerspezifisch) sind
Ich habe Probleme Eingrenzung, welche Art der Authentifizierung (keine Browser-Login-Bildschirme und so weiter) und Autorisierung Methoden zu verwenden. Jede Hilfe würde sehr geschätzt werden.
-Tamas
Vielleicht wäre in diesem Fall eine einfache Authentifizierung ausreichend? Aber ich bin mir immer noch nicht sicher, wie ich sicherstellen kann, dass jemand über einen gültigen Client auf die Rest-API zugreift. – tamaslnagy