1

我正在尝试找出可能(将来)与专用 Android 应用程序一起使用的 Web 应用程序的安全性方面的最佳选择。

然而,我经历过的可能选择是 OAuth(2-legged)和通过 TLS 的基本 Http 身份验证。

请记住,当我提到 OAuth 时,我同时考虑 OAuth 1.0a 和 OAuth 2.0,当然它们是不同的替代方案。

以下是我的疑问:

1) 首先,现在建立一个基于 OAuth 1.0a 的安全系统是否有意义?它应该被认为“太旧”,因此是一个完全错误的选择吗?

2)我无法弄清楚现实世界的场景,其中 2-legged OAuth 显然是比 Http(S) Auth 更好的选择。我能从中得到什么额外的奖励?

3) 鉴于我不是资深的安全专家,OAuth 会是一个合理的选择吗?

4) 是否有支持框架或其他第三方辅助工具可供人们使用,以便在更短的时间和/或更少的努力中获得安全可靠的 OAuth 实施,而不是仅仅试图完全由他/她自己

4

1 回答 1

1

  1. 这绝对是有道理的。我个人的看法是,OAuth 1.0a 仍然应该是首选的解决方案,除非你绝对确定你需要 OAuth 2。OAuth1 是一个严格定义的安全协议,OAuth2 是一个用于创建协议的“框架”,其中一些不太安全。

  2. 主要区别在于,使用 OAuth 时,您永远不会通过网络发送密码。此外,您的 android 应用程序不需要知道用户的密码。如果你不知道密码,你不能因为泄露​​密码而受到责备。

  3. OAuth 1.0a 是一个完全合理的选择。只要确保使用长(我的意思是 1K+ 长)秘密。秘密不与请求一起传输,因此它不会占用带宽,而是用于生成数字签名。

  4. 有。但是由于您对 android 感兴趣并且我不是 android 专家,所以我将把它留给其他人。如果您单独提出这个问题,您将有更好的机会得到一个好的答案

于 2013-07-18T11:54:13.183 回答