我们有一个移动应用程序,它需要通过 WSO2 API Manager 才能访问一些 API。由于oauth2认证,我们需要在移动应用程序中存储用户名和密码,安全吗?例如,用户名和密码可以用于登录 API Store,这种情况有没有其他解决方案?
问问题
842 次
2 回答
0
您可以使用“用户访问令牌”。这是移动应用程序的推荐方法。有关更多信息,请参阅此 WSO2AM 文档。下面的博文也有一些详细的解释。
http://charithaka.blogspot.com/2013/07/oauth-20-grant-types-with-wso2-api_16.html http://lalajisureshika.blogspot.com/2012/11/generate-application-tokens-user -tokens.html
于 2013-08-27T05:07:25.870 回答
0
您可以在密码授予类型下使用用户名和密码一次,通过点击令牌端点来获取访问令牌。之后,只需使用刷新令牌更新您的访问令牌,这样您就不必在移动沙箱中存储用户名和密码。查看有关更新访问令牌的文档。有必要将此访问令牌和刷新令牌安全地保存在您的移动沙箱中。为此,您可以使用基于您的移动平台的安全沙盒方法,例如密钥库、钥匙串等,并具有适当的安全性,例如加密它们等。即使您愿意使用用户名和密码来请求令牌您也可以一次又一次地使用这种方法来存储这些凭据。
于 2014-09-18T18:12:54.660 回答