L'authentification dans Ionique/Cordova App

Tout d'abord, je ne suis pas un pro.

Dans ma quête pour devenir un meilleur développeur, j'essaie de comprendre ce qui est nécessaire et comment accomplir la création d'un inscrivez-vous/connectez-vous pour Ionique-Cadre d'application.

Plus de la simple-page-applications (SPAs) gérer l'authentification sur un serveur de nœud qui est aussi le code HTML pour le client. Dans mon cas, le téléphone lui-même sera de servir le HTML donc je suppose que j'ai peut-être monter à l'encontre de certaines catégories de documents questions.

Je comprends que les Ionique-Cadre utilise les états qui s'appuie angulaires-client-side-auth repo je devrais être authentifier à chaque fois que je suis l'évolution des états dans mon application.

J'ai une première configuration de l'application, mais maintenant, je suis un peu confus où aller à partir d'ici.

Les outils que j'ai à ma disposition:

  • Node.JS Serveur Grâce DigitalOcean (dois-je utiliser cela comme un proxy de ma DB?)
  • Serveur CouchDB (Full stack, nous arrivons ici)

Questions de la mine:

  1. Qu'est-ce que l'approche standard pour l'authentification lors de l'utilisation d'applications hybrides?
  2. Dois-je utiliser Node.JS en tant que proxy pour la base de données?
  3. Dois-je sauter node.js et s'authentifier directement avec le serveur CouchDB? (J'ai entendu parler de cela)
  4. Vais-je à propos de tout cela dans le mauvais sens?
  5. Quelles sont mes possibilités de la route des blocs?
  6. Comment la SCRO travailler avec des applications hybrides?
  7. Rien de ce que je suis absent?

Merci de m'aider à devenir un meilleur développeur.

InformationsquelleAutor TyMayn | 2014-03-04
  1. 77

    OK, il y a beaucoup à répondre. Mais la réponse courte est de
    il suffit de garder les choses simples et authentifier comme vous le feriez pour une web app.

    Dans une application web :

    • Dans une web app vous voulez envoyer une requête à un serveur et vérifiez les informations d'identification avec une base de données d'authentification de l'utilisateur

    Dans une application mobile :

    • Dans une application mobile vous permettra de faire la même chose via des requêtes ajax (à l'aide de $http, dans le cas du moment cinétique).
    • Après l'authentification est terminée sur le serveur d'envoyer une réponse à l'application( par exemple. json/xml) indiquant à l'extrémité avant le résultat de l'authentification.

    Qu'est-ce que l'approche standard ?

    • Je ne suis pas sûr à propos de la norme, mais cela semble être l'approche la plus facile. Les normes de toujours changer, car il y a toujours une meilleure façon de le faire. Donc, tant qu'il obtient le travail fait à l'aller pour elle, l'améliorer plus tard.

    Dois-je utiliser Node.JS en tant que proxy pour la databse?

    • Je n'ai pas utilisé beaucoup de nodeJs donc je ne sais pas vraiment ce que vous voulez dire. Mais si cela permet d'sais - je utiliser php sur le serveur qui reçoit la requête ajax, s'occupe de l'authentification à la base de données mysql et renvoie la réponse à l'application mobile.

    Vais-je à propos de tout cela dans le mauvais sens?

    • Je n'ai pas vu de la configuration initiale. Aussi loin que l'authentification chaque fois que vous changez les états dans l'application, vous pouvez utiliser localStorage pour stocker les infos de l'utilisateur après une connexion réussie. Lors de la déconnexion d'effacer le localStorage. Donc, tout ce que vous devez faire est de vérifier si la valeur existe dans le localStorage pour confirmer si l'utilisateur est connecté.

    Quelles sont mes possibilités de la route des blocs?

    • Je vous suggère de commencer à faire de votre app, et vous le saurez bien assez tôt. Sur l'ensemble de l'ionique+cordova rend les choses assez simple et supprime la plupart des obstacles pour le développement d'applications.

    Comment la SCRO travailler avec des applications hybrides?

    • Cordova permet à la croix-demande de domaine par défaut, de sorte que vous n'aurez pas de problèmes avec les demandes de domaine et vous pourrez ainsi accéder à votre serveur pour l'authentification directement.

    Rien de ce que je suis absent?

    • IonicFramework est juste un front-end HTML5 cadre. Il ne peut à elle seule faire de vous une application mobile.Il va juste vous donner belle INTERFACE utilisateur de travailler avec. IonicFramework vous offre quelques belles les fonctions javascript qu'il met en oeuvre à l'aide angulaire. Ainsi, pour obtenir les la plupart hors de ionique, vous devez être compétent avec angularJs. L'apprentissage angulaire en vaut la peine, alors allez-y.

    • L'application est compilée par Cordova. Cordova prend votre html/css/javascript, des fichiers et des paquets de mer
      dans le fichier apk android ou iphone ipa de sorte qu'ils peuvent être installés sur
      l'os respectifs comme des applications natives.

    • Cordova est ce qui va vous permettre d'avoir accès natif fonctionnalités du téléphone comme l'appareil photo,la galerie,les contacts
      etc.

    Mis à jour le 3 juin 2015

    Jeton D'Authentification Basée Sur Les : je crois que c'est une alternative. Il est plus propre et plus sûr moyen de la gestion de l'authentification qui est maintenant facilement disponibles.

    Pour plus d'informations, consultez les liens suivants:

    Quels sont les avantages de l'utilisation d'une base de jeton d'approche?

    De la croix-de-domaine /de la SCRO: cookies + CORS ne pas bien jouer dans différents domaines. Une base de jeton d'approche vous permet de faire des appels AJAX pour n'importe quel serveur sur n'importe quel domaine, parce que vous utilisez un en-tête HTTP pour transmettre les informations de l'utilisateur.
    Apatrides (un.k.un. Côté serveur évolutivité): il n'y a pas besoin de tenir une session de magasin, la marque est une auto-contanined entité qui transmet toutes les informations de l'utilisateur. Le reste de l'état vit dans des cookies ou des locaux de stockage sur le côté client.

    CA: vous pouvez vous servir de tous les actifs de votre application à partir d'un CDN (par exemple, javascript, HTML, images, etc.), et de votre côté serveur est juste l'API.
    Découplage: vous n'êtes pas lié à un schéma d'authentification. Le jeton peut être généré n'importe où, par conséquent, votre API peut être appelée à partir de n'importe où avec un simple moyen d'authentification de ces appels.

    Mobile prêt: quand vous commencez à travailler sur une plate-forme native (iOS, Android, Windows 8, etc.) les cookies ne sont pas idéales lors de la consommation d'une sécurité de l'API (vous avez à traiter avec cookie conteneurs). L'adoption d'un jeton de base de cette approche simplifie beaucoup de choses.
    CSRF: puisque vous n'êtes pas en s'appuyant sur les cookies, vous n'avez pas besoin de les protéger contre les demandes de site (par exemple, il ne serait pas possible sur votre site, générer une requête POST et de ré-utiliser le cookie d'authentification, car il n'y en aura).

    Performance: nous ne sommes pas présenter tout dur perf repères ici, mais un aller-retour réseau (p. ex. la recherche d'une séance sur la base de données) est susceptible de prendre plus de temps que le calcul d'un HMACSHA256 pour valider un jeton et l'analyse de son contenu.

    Page de connexion n'est pas un cas particulier: Si vous utilisez Rapporteur pour écrire des tests fonctionnels, vous n'avez pas besoin de gérer tout cas spécial pour la connexion.
    Standard-base: votre API pourrait accepte une norme JSON Web Jeton (JWT). C'est un standard et il y a plusieurs backend bibliothèques (.NET, Ruby, Java, Python, PHP) et des entreprises en soutenant leur infrastructure (par exemple, Firebase, Google, Microsoft). Comme un exemple, Firebase permet à leurs clients d'utiliser tout mécanisme d'authentification, aussi longtemps que vous générez un JWT avec certains pré-défini les propriétés, et a signé avec le secret partagé à l'appel de leur API.

    • Savez-vous si je peux utiliser un cookie de session d'authentification dans mon site web de Django et un jeton d'authentification basée dans mon API Reste dans le même projet? J'aurais 2 moyens d'authentification, je ne sais pas si c'est correct. Pour l'instant je ne veux pas faire une webapp Angulaire... je veux juste un site web et une API Rest qui communique avec Ionique de l'app. Merci 😉
    • Vous pourriez le faire, mais ce serait un travail supplémentaire. Vous avez besoin d'autres méthodes pour gérer les sessions. Votre demande ne sera pas dérangé quel type d'authentification que vous faites, mais je vous suggère de garder uniforme sur toutes les plateformes de votre propre facilité d'utilisation.
    • Donc, puis-je utiliser une base de jetons d'authentification pour le site web au lieu d'utiliser des cookies d'authentification?
    • oui, vous pouvez.
    InformationsquelleAutor Varun Nath
  2. 44

    nathvarun a donné une réponse complète, mais j'aimerais partager avec vous les étapes que j'ai faites pour l'authentification dans mon application.

    1. Envoyer email + password via ajax vers le serveur
    2. Générer un token dans le serveur et de le renvoyer à l'application
    3. Magasin email + token dans localStorage
    4. Pour chaque requête que je fais sur le serveur, j'ai envoyer email + token via POST
    5. Dans le serveur, j'ai vérifier l'authenticité de l'utilisateur avec le jeton, si true la méthode est exécutée, si false je le renvoyer à l'application un message d'erreur (401)
    6. Si l'application reçoit des succès, alors c'est ok, si reçoit erreur que j'ai rediriger vers écran de connexion.

    Belle chose, c'est que lorsque l'application est ouverte, vous pouvez obtenir le email + token de localStorage, envoyer au serveur, si ce jeton est ok pour que l'utilisateur, de rediriger à l'écran principal, sinon redirection de connexion. Alors à chaque fois que l'utilisateur efface le cache de l'application, il est redirigé vers l'écran de connexion.

    • court, clair et simple, bien fait
    • Merci @Lucas. Juste ce que je cherchais.
    • J'ai trouvé votre réponse intéressante, j'ai quelques questions à poser. Une façon de créer un jeton? Avez-vous enregistré le jeton créé à la base de données? Avez-vous chiffrer ou de hachage de l'e-mail avant de ranger dans localStorage?
    • Mon backend est dans les Rails, je générer un code hexadécimal dans le modèle et stockées dans la base de données, mais je change à chaque requête de l'utilisateur. Et l'e-mail n'est pas chiffrée dans le localStorage, mais c'est probablement la faiblesse de sécurité
    InformationsquelleAutor Lucas Garcia
  3. 1

    J'ai en fait besoin de quelque chose comme ça pour quelques applications que je suis en train de travailler sur. J'ai passé assez de temps à l'examen et qu'elle était en mesure d'atteindre cet objectif.

    Je suis assez content du résultat, en plus de e-mail/mot de passe d'authentification j'ai ajouté quelques authentification sociale qui fonctionne de la même manière.

    1. ouvrir une url sur le côté client avec le fournisseur (facebook/twitter/instagram) url pour la connexion
    2. l'utilisateur se connecte et est redirigé vers le serveur de l'url de callback (mon serveur est écrit en nodejs)
    3. une fois que j'ai le jeton d'accès de la part du fournisseur. J'ai enregistrer ce jeton, puis de créer un jeton pour le client de le réutiliser à chaque fois que l'utilisateur veut accéder à une ressource protégée.

    Télécharger le apk et de le tester.

    Si c'est ce que vous cherchez, vous pouvez payer à la fois le côté client code : https://github.com/malikov/Authenticate.me-client-cordova-ionic

    Et le côté serveur de code à : https://github.com/malikov/Authenticate.me-Node-Server

    • Êtes-vous encore en train de faire comme ça? Qu'entendez-vous à l'étape 3, lorsque vous dites que vous enregistrez le jeton, puis de créer un jeton pour le client de les réutiliser?
    InformationsquelleAutor malikov