0

在 MobileFirst 8.0 中的 App Authenticity 测试期间,我发现使用(Android)应用程序的调试包和发布包在控制台上启用和禁用 App Authenticity 设置之间切换的奇怪行为:

  • 按照使用 mfp-app-authenticity-tool.jar 工具签署应用程序(发布包)的说明,通过控制台注册 .authenticity_data 文件,并设置应用程序的 Security-Check Configurations 以使用带有 Expiration Period 值的 appAuthenticity 设置。

  • (初次连接时)在设备上安装应用发布版本后,应用成功连接MFF Server并调用适配器。

  • (从同一设备上删除应用程序的发布版本后)在设备上安装了应用程序的调试版本,并且应用程序无法按预期连接到MFF Server。

  • 通过删除控制台上的 Authenticity File 禁用 App Authenticity,设备上的调试版本应用程序成功连接到 MFF Server 并调用适配器。

  • 使用与第一步相同的说明“重新启用”App Authenticity,但该应用程序的调试版本仍然可以连接到 MFF Server 并调用适配器。我知道有 Maximum Token-Expiration Period 和 Expiration Period 设置,但我将这两个值都设置为 60 秒以进行测试。(重新安装应用程序的调试版本并在不更改服务器的情况下测试操作会产生预期的行为 - 即无法连接。)

我想知道这是否是在控制台上实时启用/禁用 App Authenticity 设置的正常行为.. 以及该功能是否仅适用于 Enable -> Disable 的一组操作。

任何想法?

谢谢!

4

1 回答 1

1

默认情况下,仅在客户端注册过程中检查 App Authenticity。这意味着下次连接服务器时,它不会被检查。

为了在每个令牌请求上运行 App Authenticity,请在控制台中添加appAuthenticity到应用程序的强制范围部分。例如,然后将其设置expirationSec为 60 秒。

本教程进行了调整以澄清这一点:https ://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/8.0/authentication-and-security/application-authenticity/#configuring-application-authenticity

于 2016-10-25T09:21:53.780 回答