如何保护azure移动服务/html-javascript

当我调用像gmail这样的oauth提供商并取回令牌时，我如何确保我以后的所有调用都来自进行身份验证的同一个客户端？也就是说，是否有某种安全令牌我应该通过包？我每次都要把那个代币递回去吗

例如，如果我有一个简单的数据表，用于带有第一个、最后一个、生日、id的来宾图书。我如何确保拥有该记录的用户是唯一可以更新该记录的用户。还有，我怎样才能确保唯一能看到自己生日的人是授权的人

---

对于这个令人困惑的问题，很抱歉，我很难理解azure mobile services如何以任何方式构成html客户端的安全性。

我最近也试图解决这个问题，下面是我如何理解它的，可能有点太多细节，使用with：

在这种情况下，当您将身份验证外包给Google时，您正在执行标准的OAuth 2.0授权代码授予流。你向谷歌注册你的应用程序，获得客户ID和密码，然后向AMS注册你的应用程序。快速转发至当您在HTML ToDoList应用程序上单击“登录”时：AMS通过提供有关it客户端ID和密码的信息代表您的应用程序请求授权码，最终导致Google的帐户选择器/登录屏幕。在您选择帐户并成功登录后，Google将重定向到您的AMS应用程序的URL，并将授权代码作为查询字符串参数附加。AMS然后代表您的应用程序从Google将此授权码兑换为访问令牌，创建如下所示的新用户对象，并将其返回到您的应用程序：

"userId":"Google:11223344556677889900"
"authenticationToken":"eyJhbGciOiJb ... GjNzw"

这些属性是在调用后返回的，并封装在。authenticationToken可通过将其附加到请求的X-ZUMO-AUTH头中，至少在到期之前，用于向AMS发出经过身份验证的调用

就安全性而言，上述所有操作都是在HTTPS下进行的，令牌仅适用于当前登录的用户，并且令牌在预定的时间到期，我不知道到期时间有多长

根据您的理论示例，如果表的权限配置为仅允许经过身份验证的用户，则可以在显示生日时通过编写逻辑来存储和检查userId属性来进一步锁定。有关更多信息，请参阅