.net webservice需要对Android客户端进行身份验证

Question

我有一个 Android 应用程序，它使用 http get 与 .net 2 webservice (IIS7) 进行通信，并设法使其使用自签名服务器证书（但不需要客户端证书）在 https 上运行。 我看到所有 http 流量都已加密，看起来很安全。
现在我对如何验证客户端有什么选择？例如，我喜欢阻止 PC 上的 Internet Explorer 访问 Web 服务。

这里描述的客户端验证的 TLS 握手会是一种方法吗？ 那我怎样才能做到这一点呢？一些建议或例子将不胜感激。

Answer 1

好吧，考虑到每个用户无论如何都应该进行身份验证，您可能出于各种原因想要设置某种每用户身份验证策略。首先，考虑到这可能是一个广泛分布的应用程序，拥有单个“金牌大师”身份验证证书或凭证最终将失败，因为有人会破解它 - 要么获取证书，要么获取帐户。然后你该怎么办？其次，它并不是特别难处理。您可以轻松地使用 ASP.NET 成员身份来支持它，然后根据服务的性质通过多种方式获取凭据。第三，它比客户端证书更容易管理。