Ionic / Cordovaアプリでの認証

OK、答えがたくさんあります。ただし、簡単な答えは、通常のWebアプリと同じように、物事をシンプルに保ち、認証することです。

通常のWebアプリの場合：

• 通常のWebアプリでは、サーバーにリクエストを送信し、データベースで資格情報を確認してユーザーを認証します

モバイルアプリの場合：

• モバイルアプリでは、ajaxリクエストを介して同じことを行います（アンギュラーの場合は$ httpを使用します）。
• サーバーでの認証が完了した後、フロントエンドに認証の結果を示す応答（json/xmlなど）をアプリに送り返します。

標準的なアプローチは何ですか？

• 標準についてはわかりませんが、これが最も簡単なアプローチのようです。より良い方法が常にあるため、標準は常に変わります。ですから、仕事がやり遂げられる限り、後で改善してください。

Node.JSをデータベースのプロキシとして使用する必要がありますか？

• NodeJをあまり使用していないので、実際に何を意味するのかわかりません。しかし、それが知るのに役立つ場合-私はajaxリクエストを受信するサーバーでphpを使用し、mysqlデータベースで認証を処理し、モバイルアプリに応答を返します。

私はこれについて間違った方向に進んでいますか？

• 私はあなたの初期設定を見ていません。アプリの状態を変更するたびに認証を行う限り、ログインが成功した後にlocalStorageを使用してユーザー情報を保存できます。ログアウト時に、localStorageをクリアします。そのため、ユーザーがログインしているかどうかを確認するためにlocalStorageに値が存在するかどうかを確認するだけです。

私の潜在的なロードブロッキングは何ですか？

• アプリの作成を開始することをお勧めします。すぐにわかります。全体的に、ion + cordovaは物事を非常にシンプルにし、アプリ開発の障害のほとんどを取り除きます。

CORSはハイブリッドアプリケーションでどのように機能しますか？

• Cordovaはデフォルトでクロスドメインリクエストを許可しているため、クロスドメインリクエストで問題が発生することはなく、認証のためにサーバーに直接アクセスできます。

不足しているものは何ですか？

• IonicFramework は単なるフロントエンドHTML5フレームワークです。それだけでは、モバイルアプリにすることはできません。 IonicFrameworkは、Angularを使用して実装するニース javascript機能 を提供します。したがって、ionicを最大限に活用するには、angularJsに習熟する必要があります。学習angularは努力する価値があります。

• 実際のアプリはCordovaによってコンパイルされます。 Cordovaは通常のhtml/css/javascriptファイルを取得し、それらをAndroid apkまたはiphone ipaにパッケージ化して、ネイティブアプリとしてそれぞれのOSにインストールできるようにします。

• Cordovaは、カメラ、ギャラリー、連絡先などのネイティブの電話機能にアクセスできるようにするものです。

2015年6月3日に更新

トークンベースの認証：私は代替手段であると信じています。これは、認証を処理するためのよりクリーンで安全な方法であり、簡単に利用できるようになりました。

詳細については、次のリンクをご覧ください。

• Angular jwt （angularを使用するアプリの場合）
• ビデオトーク：JWTを使用してアプリを安全にする （jwt.ioの作成者による）
• Jwt.io （jwtの公式ウェブサイト）
• LaravelのJwt-Auth （Laravelバックエンドで使用する場合）

トークンベースのアプローチを使用する利点は何ですか？

クロスドメイン/ CORS：Cookie + CORSは、異なるドメイン間でうまく機能しません。トークンベースのアプローチにより、HTTPヘッダーを使用してユーザー情報を送信するため、任意のドメインで任意のサーバーに対してAJAX呼び出しを行うことができます。ステートレス（別名サーバー側のスケーラビリティ）：なしセッションストアを保持する必要がある場合、トークンはすべてのユーザー情報を伝達する自己完結型のエンティティであり、残りの状態はクライアント側のCookieまたはローカルストレージに存在します。

CDN：CDNからアプリのすべてのアセット（javascript、HTML、画像など）を提供でき、サーバー側はAPI。分離：特定の認証スキームに縛られていません。トークンはどこでも生成される可能性があるため、これらの呼び出しを認証する単一の方法で、どこからでもAPIを呼び出すことができます。

モバイル対応：ネイティブプラットフォーム（iOS、Android、Windows 8など）で作業を開始するとき、安全なAPIを使用する場合、Cookieは理想的ではありません（ Cookieコンテナを処理する必要があります）。トークンベースのアプローチを採用すると、これが大幅に簡素化されます。 CSRF：Cookieに依存していないため、クロスサイトリクエストから保護する必要はありません（たとえば、サイトでそれを行うことはできません。POSTリクエストを生成し、存在しないため、既存の認証Cookie）。

パフォーマンス：ここではハードなパフォーマンスベンチマークを提示していませんが、ネットワークラウンドトリップ（データベースでセッションを見つけるなど）は計算よりも時間がかかる可能性がありますトークンを検証し、その内容を解析するHMACSHA256.

ログインページは特別なケースではありません：Protractorを使用して機能テストを記述する場合、ログインのために特別なケースを処理する必要はありません。標準ベース：APIは標準のJSON Web Token（JWT）を受け入れることができます。これは標準であり、複数のバックエンドライブラリ（.NET、Ruby、Java、Python、PHP）とインフラストラクチャを支援する企業（例：Firebase、Google、Microsoft）があります。例として、Firebaseでは、特定の定義済みプロパティを使用してJWTを生成し、共有シークレットで署名してAPIを呼び出す限り、顧客は任意の認証メカニズムを使用できます。