Windows 7 Phone應用程序存儲憑據的最佳方式

Question

我正在尋找將用戶憑據存儲在Windows 7手機應用程序中的最佳做法。我正在爲需要驗證的Web服務編寫應用程序。謝天謝地，這只是基本認證。什麼是存儲這些憑證的最佳方式？

Answer 1

在您的案例中存儲憑據的最佳方式是加密它們並存儲在特定於應用程序的獨立存儲中 - 基本上，它不能被任何其他應用程序訪問，因此可以提供另一個保護層。

Answer 2

通過怎樣加密的獨立存儲你的數據羅布蒂芙尼一個很好的解釋可以在這裏找到：

Don’t forget to Encrypt your Windows Phone 7 Data

我還沒有嘗試過的代碼自己，所以不能保證它的正確性（抱歉Rob :-) - 儘管如此，我應該想象一下，這應該是一個很好的起點。

我也是第二丹尼斯關於應用程序特定的隔離存儲的觀點，除了加密之外，還爲您提供額外/基本的保護層，理論上至少其他應用程序無法訪問您的應用程序隔離存儲。

Answer 3

就安全性而言，最好的做法是儘可能避免存儲用戶憑證。 MSDN states：

應用往往要求用戶 提供用戶名和密碼 用作憑據進行身份驗證 與Web服務或 網站的用戶，但如果每次都這樣做 的應用運行，用戶可以 變得惱火。

強烈建議，您的用戶名申請 迅速和 每個 需要他們從用戶的時間你的應用程序密碼;如果您 嘗試將憑據保存在 手機上，那麼如果Windows Phone丟失或 被盜，您可能會將這些憑證暴露給惡意應用程序 。

其實，在對方的回答中提到的數據加密教程，羅布蒂芙尼使得similar disclaimer：

OS不包括用於存儲你的密碼和 鹽值安全也不框架 支持呢它來與 與任何類型的內置密鑰 管理。這意味着 確保您的加密數據的唯一方法是 實際上是安全的，永遠不會存儲您的密碼，鹽值或 電話上的 鍵。

...

如果你看到在Windows 電話市場，讓您 緩存您的憑據或密鑰本地 爲了方便應用程序，注意，這些 並不安全解決方案，因爲 一切黑客需要獲得在 您的數據就在代碼 或獨立存儲中。

加密對提高酒吧是有好處的，但這並不能真正保護知識淵博的黑客憑據。可用性有時會帶來安全性，但是你應該知道加密技術不能解決這種情況下的核心問題（也許讓用戶意識到這種風險）。

Answer 4

您應該使用ProtectedData class來安全地存儲各種機密信息。

瞭解更多How to: Encrypt Data in a Windows Phone Application