0

可能重复:
在自己的移动应用中进行身份验证

我已成功实施 OAuth2 以保护对我的 API 的访问。我还有一个问题。

我实际上正在开发一个官方应用程序,显然我必须跳过“授权此应用程序访问我的数据”这一步(顺便说一句,Facebook 和谷歌的产品没有这一步)。

我可以使用经典的身份验证方法(例如在我的网站上使用 API),但我认为我必须能够撤销官方应用程序(例如,在手机被盗的情况下)。谷歌和 Twitter 提供了撤销官方应用程序的可能性。我想他们也在他们的官方应用程序中使用 OAuth。

我的问题是: 由于我认为源代码不是很安全(黑客可以使用逆向工程),我如何识别官方应用程序(以便按需为其提供访问令牌)?

总而言之,我不能在应用程序源代码中存储密钥(不安全),但我不希望我的应用程序必须被用户接受。

你有想法吗?

在此先感谢,请原谅我糟糕的英语。

4

0 回答 0