Google App Engine 作为移动应用程序的身份验证服务器

Question

我正在尝试利用 Google App Engine 作为原生在 Android 上运行的移动应用程序的身份验证服务器。用户名和密码将存储在 GAE 中，我的目标是能够使用 GAE 存储和验证来自移动应用程序的凭据。这可能吗？我研究过 OAuth 和 JSON，但我认为我没有适当的设置。

另外，如果我以错误的方式处理这个问题，请指出我正确的路径。

Answer 1

如果您有兴趣在 GAE 实例中实现更像 API 的实现，我肯定会更多地研究 OAuth。但如果您只对验证这一移动应用程序的凭据感兴趣，那么您无需走那么远。

幸运的是，您可以通过 SSL 调用您的 GAE 实例，这意味着您可以卸载所有握手和加密业务。然后我只需使用 http-basic 身份验证< /a>，或者简单地发送用户 ID 和加密密码作为请求中的参数。

iPhone 上有一个用于存储密码的 KeyChain，也许 Android 上有一个对应的 KeyChain？无论如何，请确保在设备和 GAE 数据存储中存储加密的密码。验证凭据时发送加密密码。您永远不应该知道用户的明文密码。这将提供一定程度的模糊性，我认为这已经足够了（通过 SSL 发送时肯定如此）。

然后您只需返回帐户凭据是否已验证即可。

Answer 2

如果“存储凭据”是指存储用户名和密码，那么我想您的处理方式是错误的。无论您谈论的是 OAuth 还是 OpenID，其想法都是您永远不会看到或无法访问委托身份验证机制的密码（也许也不是用户名）。相反，您会收到一个身份验证或授权令牌来完成您的工作（对于 OpeniD，您会收到有关此人的一些元信息，例如名字/姓氏和电子邮件地址）。

顺便问一下，您是否考虑过第三方，例如 Janrain？