问题标签 [android-authenticator]

当我使用支持包时，是否可以通过 AccountAuthenticatorActivity 使用片段？AccountAuthenitactorActivity 不是 FragmentActivity 类的子类，因此我不确定在使用 Support 包时如何使用 Fragment。

我不明白方法是如何confirmCredentials工作的。我从未在 Android UI 中看到任何选项，例如“确认凭据”之类的，只有“创建帐户”和“删除帐户”。

我已经构建了一个 Authenticator，我已经构建了一个 SyncAdapter（两者都可以通过模拟器上的设置手动执行）。

如果未找到帐户，如何在应用程序启动时让我的应用程序启动登录屏幕（addAccount 方法）？

这是我的 Manifest.xml ......

在 Android 上创建自定义帐户的最简单方法是什么？到目前为止，我已经阅读了文档：Creating a Custom Account Type，但它肯定没有太大帮助（信息太模糊）。我尝试阅读 LastFm 中的示例，但肯定他们做的事情有点过于精细，我不太了解，因为我只是一个有帐户的 Android 初学者。我知道它不像调用那么简单：

因为这会引发异常。

到目前为止，我知道我需要使用一个AccountAuthenticatorActivity作为身份验证器的服务。任何可以为我指明正确方向的帮助将不胜感激。

我正在尝试构建一个需要进行一些客户端 SSL 身份验证的 RSS 提要阅读器。

我有，或者至少认为我有，证书。但是我现在无法弄清楚如何设置 ssl 隧道将证书发送到服务器进行身份验证。

这是我到目前为止所拥有的：

任何有关如何做到这一点的帮助将不胜感激，因为我以前从未做过任何身份验证，而且我发现很难找到关于 android 4.0 这个主题的任何内容，因为 4.0 在实现上似乎与旧版本不同。

我正在编写一个 Android 应用程序，我需要从该帐户请求一个 Auth 令牌。获取帐户列表和令牌很容易，到目前为止我已经完成了。

问题是果冻豆打开一个弹出窗口，要求用户许可。现在我的问题：

1. 弹出对话框出现的规则是什么？在我将设备更新到 Android 4.1 之后，我第一次发生了这种情况。它似乎是随机发生的：安装和卸载应用程序我无法重现此弹出窗口再次出现的情况。

2. 有没有什么办法不用恢复出厂设置就可以恢复？我需要重现这个以测试问题 3。）

3. 有没有办法在请求 authtoken之前确定弹出窗口是否会出现，即等到不再需要它（即，如果用户安装了有问题的应用程序但从未使用过，或者 authtoken 是否过期？）然后请求它？

   我知道大多数 Android 用户非常缺乏经验，可能会被一些权限请求吓到，我想避免在触发此用户弹出窗口时请求 authtoken。

我的应用需要同步适配器，因此需要进行一些身份验证才能将帐户添加到Accounts & Sync.

我遵循了示例同步适配器应用程序并设置了我的应用程序。例如，我现在可以在我的服务器上验证一个用户并将一个帐户添加到该Accounts & Sync部分。

AuthenticatorActivity问题是我更喜欢这种通过在我的应用程序中添加帐户的程序，以获得更好的用户体验。

到目前为止，我已经添加了AuthenticatorActivity我的应用程序启动时间。一旦身份验证成功，它就会启动Accounts & Sync设置部分，这会完全破坏应用程序的登录/注册体验。

我怎样才能停止这种行为（Accounts & Sync成功启动设置）并允许我的应用程序移动到我选择的下一个步骤？

我只是无法弄清楚这一点。我目前正在 Android 上构建一个相当大规模的应用程序。不过，我遇到了一些关于安全性和身份验证的问题......

场景：

我有一个应用程序通过 HTTP（稍后将实现 SSL）调用运行 PHP 和 MySQL 的服务器。当然我想使用现有的用户数据库，所以迁移到另一个数据库不是一个解决方案。我设法创建了“通过 Android 将用户注册到服务器”功能。我也做了一个工作登录，但这是问题开始的地方。

当我正在处理的 Android 应用程序中的用户通过/向应用程序添加、编辑、删除和同步服务器上的内容时，事情变得相当复杂。对我来说似乎有点太复杂了:)

问题：

1. 当我从服务器端登录获得结果并通过 JSON 将其从服务器传递到 Android 时，连接断开，服务器端我没有登录（会话断开），而在电话上我是。如何使登录在服务器和 Android 上都保持不变，而无需再次登录？因此，从 Android 到服务器的后续调用是使用同一用户进行的，仍然经过身份验证。即我想要一种一次性登录（直到我注销），就像在 Spotify 应用程序（和许多其他应用程序）中一样。

2. 如果我理解正确的话，正确实施 SSL 可以将密码以明文形式发送到服务器，而无需先对其进行哈希处理。它是否正确？

我无法停止思考这样一个事实，即 MIM 攻击会破坏我从 Android 发送到服务器的任何唯一 ID。我的第一个想法是在成功登录后将 Android 设备上的 UID 作为服务器的“密钥”。但是，如果该密钥落入坏人之手，与该 UID 关联的用户将受到威胁。我已经查看了 Android 上的 AccountManager，但在我的情况下它似乎有点过头了。

如果有人可以提供示例或至少是指导方针，我将不胜感激！

提前感谢！

编辑后添加的解决方案图

请注意，此图显示了应用程序的第一次启动。以后的初创公司不会显示登录/注册表格，而是使用 DUT。

// 亚历山大

我希望我的应用能够使用 Facebook、Twitter 或 Gmail 登录。我的应用程序不会发布在他们各自的帐户上，只是为我的应用程序授权或创建用户的一种方式。

是否有任何简单的库可以在没有 SDK 或复杂配置的情况下实现这一目标。

任何建议或示例都会非常有帮助。

我有一个自定义身份验证器，我想将用户/密码公开给其他应用程序。为了防止任何随机应用程序获取凭据，我想在我的自定义身份验证器的getAuthToken()方法中执行权限检查之类的操作。什么是正确的方法？

我试过这个，

在托管我的身份验证器的应用程序中定义了“com.whatever.AUTH”，

uses-permission但是，在我的清单中没有的测试应用程序中，当我请求帐户时，

我成功获得了身份验证令牌。调试显示对我的身份验证器getAuthToken()方法的调用发生了，但检查权限调用返回“已授予”。

编辑：如果我从我用来调用checkCallingPermission()它的上下文中获取包名称，则它是托管自定义身份验证器的应用程序的包名称。如果我得到调用 PID，UID 它们分别是 0 和 1000。

有任何想法吗？