我使用 Django OAuth Toolkit 和 Django Rest 进行移动应用程序的 OAuth 身份验证。要访问任何受保护的资源,需要应用程序的客户端 ID 和密码。我应该在哪里存储客户机密。存储在 APK 中是不安全的,因为它可以被反编译。甚至混淆也可以被逆向工程。那么向应用程序提供客户端机密的最佳和安全方式是什么。
问问题
1308 次
1 回答
0
隐藏客户端 ID 并不是非常重要,但是不要将客户端密码保存在应用程序的某个位置是正确的。暴露它肯定会危及您的安全。
在您的情况下,您可以设置一个使用密码授予类型(我的个人偏好)的 OAuth 应用程序,或者让您的用户向您的服务器进行身份验证,这将授予他们过期的访问令牌以用于未来的请求。这是移动应用程序常见的两种不同的“OAuth 流程”。
还有这个标题笨拙的幻灯片,我认为它有一些有用的插图来描述 OAuth 与移动应用程序的使用。
于 2015-06-20T01:44:00.027 回答