3

我项目这部分的最终目标是能够不使用 Twitter 的服务器,而是使用我自己的 Web 平台来验证移动设备。两者都使用 Twitter 进行身份验证,我想避免将我的 Twitter 应用程序“秘密”硬编码到我的 iOS 应用程序中。这是我正在考虑实施的内容:

  1. 移动设备:使用 Twitter 的 Reverse Auth,获取 OAuth Token 和 OAuth Token Secret
  2. 将这两个值传递给 web 平台
  3. Web 平台:生成一个不可逆的加密和并存储在数据库中作为移动客户端和服务器之间的共享“秘密”

  4. 将此秘密传回移动客户端,并存储在移动设备上

  5. 从现在开始,移动设备每次使用 Web 平台的 API 时,都会将共享密钥与用户的数据进行匹配。

从效率的角度来看,我知道这会给 Web 服务器带来负担,但必须满足的两个要求是......

  1. OAuth 应用程序密钥不得硬编码到移动应用程序中
  2. 移动设备必须使用某种安全方式通过我的 Web 服务器进行身份验证。

我会很感激有关反向身份验证的任何资源的链接(我看过 Tim Cook 的示例 git 项目)或一般反馈。

最好的,克里斯蒂安

4

1 回答 1

0

通过提出一个重定向到我们的 Rails 后端进行身份验证的 UIWebView 解决了这个问题。无需在移动应用程序上进行直接 Twitter 身份验证(避免将我们的应用程序机密存储在移动端)。

于 2012-06-28T20:35:57.410 回答