App mit Login (evtl sogar mit Google-Account verknüpfen)?

[Ford]

Hey,
ich möchte eine App erstellen in die sich der User erst einmal einloggen muss und dann über einen Webservice Zugriff auf eine Datenbank bekommt. Der Webservice muss die ID und das PW des Benutzers bekommen, damit sie weiß was der User verändern und auslesen darf.

Wie würdet ihr das am Besten realisieren?
Wenn ich ne Registrierung davor schiebe nervt es den User evtl und wenn ich es über den Google Account mache (falls dies überhaupt möglich ist?) muss ich ja das PW des Google-Accounts auf der DB speichern und das ist ja auf jeden Fall zu vermeiden!


Wie würdet ihr es lösen?

Vielen Dank
LG ford(42)

 

[swa00]

Hallo Ford,

Eigener Login:
du wirst um das einmalige Speichern der Userid / pw nicht drumrum kommen.
Entweder in den Prefs oder in einer DB.
Und was das sicherheitsrelevante betrifft , da kannst du diverse Verschlüsselungen verwenden .


Google:
Zum login mit dem Google-Account überhäuft sich das Netz mit Beispielen
Google Sign-In for Android | Google Developers
Zudem bietet dir AS ein Default_projekt dazu an - schau mal rein


lg
Stefan

 

[Kardroid]

Also bei selbstgebauten Logins finde ich ein Tokensystem viel besser. Dann muss man auch nicht das Passwort speichern, sondern ein Token.
Vielleicht gibt es auch eine OAuth2-Implementierung für deine Servertechnologie. OAuth2 wird von sehr vielen großen Firmen benutzt und ist gut dokumentiert. Leider ist das implementieren des Clients meist nicht ganz so einfach. (Für mich )

Was ich dir noch mit auf dem Weg geben möchte: Du solltest schon ein SSL-Zertifikat auf deinem Server bereitstellen. Bei Android geht auch ein SelfSigned. Hier aber unbedingt auf eine korrekte Installation achten.
Mich hat es mal 3 Manntage gekostet einen Fehler in der Installation eines SSL-Zertifikats zu finden. (Es gab komische Fehlermeldungen bei Android)

 

[Ford]

Hey,
danke, aber von Token bin ich glaub nicht so der Fan von, weil:
Wenn man den gleichen Acc auf mehrere Geräte nutzen möchte oder das Handy resettet hat man doch auch keinen Zugriff mehr auf den Account oder? :/

 

[Kardroid]

Nein, bei beidem liegst du falsch.
Es gibt ja immer noch einen Benutzernamen/E-Mail und ein Passwort.
Beim Loginprozess wird auf dem Server der Token erstellt und an den Client zurückgegeben. Der Client speichert diesen und gibt bei jedem Request den Token mit.
Der Server kann dann vergleichen, ob der Token noch aktuell ist und die Daten zurückgeben, oder eine Fehlermeldung geben, wenn der Token ungültig ist.
Wenn der Token ungültig ist, dann muss sich der Benutzer wieder mit seinem Benutzernamen und Passwort einloggen.

Es liegt dann an der Implementierung vom Server, wieviele Tokens erlaubt sind. Wir machen normalerweise ein Ablaufdatum bei einem Token dran, dann funktioniert er wie ein Cookie.

 

[Ford]

Ah, ok.
Unterstützt ihr auch Login mit nem Facebook und/oder Google-Account?

 

[Kardroid]

Nein, aber Facebook und auch Google benutzen soweit ich weiß OAuth2. Setzen da aber natürlich auf die Authorisierungsschiene.

Wenn du dich beim Facebook- und Google-Login einliest, wirst du den Unterschied merken.

 

[bin_einverstanden]

Hi
Ich hänge mich mal an. Ich brauche für einen Verein eine App wo man mittels RFID (NFC) Chipkarte abfragen kann der User Valide ist. (Hardwaretoken)
Die App soll auf jeden Android laufen. Natürlich darf nur der jenige die App benutzt der berechtigt ist. Also muss ein Login System her.
Weil ihr geschrieben habt "der Server". Was für eine Server Software muss das sein?

 

[swa00]

Nabend ,

das Beste ist nachwievor der eigene Dedicated Root-Server auf Linux basis.
Angebote gibt es ja dementsprechend zu Genüge