我想了解在 AWS 上托管的 Android 应用程序中最终用户身份验证的最佳实践。我了解 IAM 是一种最佳实践,并且 Amazon AWS Android 开发工具包中有 STS/IAM 功能,但我更愿意在没有开发工具包的情况下执行相同的功能以避免供应商锁定。是否有任何关于 STS/IAM 功能的标准化,我可以在其他类似的基础设施服务中找到?还是这是一种理想主义和愚蠢的努力?
我还希望对一般的身份验证过程有一个更好的概念性理解,因为这是我第一次涉足 Web 应用程序领域。
问问题
1186 次
2 回答
2
我是适用于 Android 的 AWS SDK 的维护者之一。您可能对昨晚刚刚推出的一项功能感兴趣,即网络身份联合。使用它,移动应用程序(Android 和 iOS)的用户可以使用Facebook、Google和新推出的Login with Amazon进行身份验证,然后接收临时 AWS 凭证。此功能建立在OpenID Connect等标准之上。
作为支持 Web 联合身份的版本的一部分,我们构建了一个示例应用程序,展示了如何利用它在单个开发人员 Amazon S3 帐户中为用户提供“个人文件存储”。
于 2013-05-29T16:19:40.537 回答
0
恐怕IAM不适合最终用户身份验证,它更像是一种管理与 AWS 资源相关的用户和权限的方式,而不是应用程序,类似地,一家公司可能将 Active Directory 用作中央用户数据库。
我经常在我的 java 应用程序中使用Spring Security,因为它比纯JAAS更容易定制,但如果您需要更多概念信息,请查看此RBAC参考。
于 2013-05-29T10:53:17.087 回答