Нужен совет по аутентификации для подключения Android-клиента к настройке WCF Rest

Question

В основном я хотел бы подключиться к службе Windows WCF с Android с аутентификацией. Я разработчик Android. Я возился со службой WCF Rest из этой статьи , а также настроил https .

Теперь мне нужно подумать о процессе аутентификации (по имени пользователя и паролю в базе данных) для службы WCF от Android. Должен ли я кодировать имя пользователя и пароль в URL-адресе и сделать http-пост, возвращая токен для авторизации, для процесса входа в систему и использовать токен и имя пользователя для последующей операции (а также сохранить зашифрованное имя пользователя и токен в файле pref, чтобы избежать входа в систему в следующем время, таким образом, избегая пароля)? Любые советы и указатели на любой проект и документ приветствуются.

Answer 1

У программистов есть похожий вопрос https://softwareengineering.stackexchange.com/questions/93005/designing-authentication-for-rest-api, но я хочу оставить этот вопрос открытым, поскольку хотел бы добавить сюда полезный код и ссылки.

Вместо того, чтобы кодировать имя пользователя и пароль в URL, они должны быть в теле запроса.Причина в том, что, хотя https зашифровывает URL , это не очень хорошая практика, потому что, если URL вызывается из браузера, браузер запомнит его, и имя пользователя / пароль будут видны в истории браузера.Таким образом, вот статья для обработки http Post http://www.codeproject.com/Tips/150313/Simple-WCF-web-service-to-receive-parameter-from-H

Если HTTPS достигается с помощью самозаверяющего сертификата, вам потребуется проделать дополнительную работу http://blog.antoine.li/2010/10/22/android-trusting-ssl-certificates/

Дополнительная статья о WCF restand android http://fszlin.dymetis.com/post/2010/05/10/Comsuming-WCF-Services-With-Android.aspx

Создание собственного токена в C # http://msdn.microsoft.com/en-us/library/ms731872.aspx