PhoneGap と Sencha Touch を使用するアプリケーションの認証メカニズムと、Active Directory を使用する .NET のサーバーに関するフィードバックをお寄せください。
そのため、ユーザーがアプリケーションを使用するたびにログインと Psw を再入力する必要がないように、モバイル デバイスにユーザー資格情報を保存する必要があります。
01 - アイデア - クッキー
私の理解では、Sencha Touch には Cookie を管理するためのライブラリが直接ありません。Cookie を使用するには、Sencha のベース ライブラリである "Sencha Ext Js" をインストールし、Ext.util.Cookies クラスを使用する必要があります。このライブラリは無料であってはなりません。
Cookie の操作と IOS のセキュリティの問題に関して、CROS ドメインでまだ問題が発生しているのではないかと心配しています。
また、Phonegap は Cookie の抽象化を提供しません。これを行うツールは他にもたくさんあります (Phonegap は、基本的なブラウザー機能ではなく、スマートフォンの機能をラップするだけです)。私は jQuery を使用する可能性があり、jquery-cookie プラグインを試すこともできます。
02 - IDEA - HTML5 ローカル ストレージ
Sencha Touch は HTML5 ローカル ストレージ用の API を提供するので、Cookie を書き込む代わりに、認証情報をローカル ストレージに保存できます。ローカル データは、デバイスの電源がオフになっている場合でも、未定義の量のためにブラウザーによって保持される必要があります。ユーザーがアプリをクリックすると、ローカル データを取得してサーバーに送信できます。サーバーはユーザーを認証します。
メカニズムにもかかわらず、セキュリティに問題があります。A) - ユーザー名とパスワードをプレーン テキストとして Cookie またはローカル ストレージに保存し、サーバーに転送します。暗号化は含まれていないため、認証は機能するはずです。短所: Cookie とローカル ストレージを読み取るのは非常に簡単であるため、最新のセキュリティではありません。
B) - UserName をプレーン テキストとして保存し、パスワードの代わりに「フォーム認証チケット」を Cookie またはローカル ストレージに保存し、サーバーに転送します。サーバー上の暗号化は、「フォーム認証チケット」に関係しています。長所: 高度なセキュリティ、短所: 開発に時間がかかる。注: セキュリティ、チケットは、サーバーの Machine.config ファイルの構成要素を使用して暗号化されます。
私の質問:
- このシナリオの経験はありますか?
- より良いアプローチはありますか?