0

为了在手机上启动oauth,我必须提供应用程序密钥,这些密钥非常敏感,不能泄露,我该如何保护它们?可以在应用程序中对其进行硬编码,或者在每次需要时使用 Web 服务调用来获取它,无论如何,它看起来没有得到很好的保护。有什么建议么?

4

1 回答 1

1

为了在手机上启动 oauth,我必须提供应用程序密钥。

您不需要,您可以使用 TWRequest (iOS 5) 或SLRequest (iOS 6+) 来执行 OAuth 请求。

如果出于某种原因,您想使用自己的消费者密钥(例如,为了访问直接消息),那么您可以实现反向身份验证流程。

您将消费者的秘密保存在自己的服务器上。您的服务器将请求一些令牌,然后这些令牌将从您的应用程序中检索并通过 TWRequest / SLRequest 再次发送。响应将是对用户和您的应用有效的令牌,您将能够从您的服务器访问用户的帐户。

您可以自己实现反向身份验证,也可以使用STTwitter库来实现。

我不知道以下方案是否具有启发性,但它可以提供帮助。

在此处输入图像描述

于 2013-10-19T17:16:07.527 回答