Worklight在线+离线身份验证

Chandrahas 发表于 Dev

钱德拉哈斯

我正在尝试通过Worklight实现以下目标。

我的应用程序具有两组功能。仅当将应用程序连接到服务器并且对用户进行身份验证时，才能访问一组功能。可以离线访问另一组功能，但是它们需要来自加密的JSONStore的数据。
我在使用密码初始化的客户端设备上有一个JSONStore。因此，存储中的数据将被加密。而且，此JSONStore通过适配器同步到服务器上的数据库。
我还设置了另一个适配器，该适配器通过使用存储在数据库中的另一组凭据来对用户进行身份验证。仅当应用程序在线时，才能对用户进行身份验证。

我想要做的是统一这两种方法，以便用户无需输入两组凭据即可访问这两组不同的功能。我想到的一种可能的解决方案是，加密JSONStore并执行适配器身份验证，而无需用户干预。但是我不认为这是安全的。

有解决此问题的建议或方法吗？

cnandreu

以下只是一个想法，我不是安全专家。

要求：

要使用离线功能，您必须至少已在线且经过身份验证一次。
您的应用程序必须具有登录视图才能输入一些凭据（例如，用户名/电子邮件和密码）。

脚步：

用户第一次输入正确的凭据并成功通过服务器进行身份验证：对凭据进行哈希处理。例如：var myHash = md5(loginField.getUser() + loginField.getPassword())。您可以在Github上找到md5 JavaScript库。
使用该哈希值初始化商店。例如：WL.JSONStore.init(..., {password: myHash})。
通过HTTPS将哈希发送到后端，如果用户更改其凭据，则将需要它。无需将凭据或哈希保存在设备上（loginField = null; myHash = null）。或者，您可以仅在服务器上生成哈希并将其存储，而不必让客户端将其发送回去，只需确保客户端和服务器都使用相同的哈希算法即可。
脱机工作时，向用户询问他/她的凭据，对其进行哈希处理，然后使用它来访问存储中的数据。
如果用户更改了他/她的凭据（例如，通过您应用程序的Web界面），则哈希将有所不同，并且存储将不会初始化。但是，用户应该已经使用新的/有效的凭据成功通过了服务器的身份验证。向服务器询问旧的哈希，使用旧的哈希初始化存储，然后根据新的/有效的凭据更改密码以将存储初始化为新的哈希。例如：WL.JSONStore.changePassword(oldHash, newHash)。

可选：您可能要考虑使用盐。例如：var salt = Math.random(), myHash = md5(loginField.getUser() + loginField.getPassword() + salt)。

您将需要将盐存储在某处，以便一旦用户返回到应用程序就可以重新生成哈希。您应该能够初始化另一个未加密的存储以将其持久化。例如WL.JSONStore.init(..., {username: 'metadata'}).then(function(){/*add salt to store*/})。有关在此处使用两家商店的更多信息。

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。