是否有任何理由不应该将 cookie/会话用于本机移动应用程序(通常由浏览器使用)来向我的服务器进行身份验证和后续 API 调用?
澄清:移动客户端上事实上的身份验证方法似乎是基于令牌的系统,如 OAuth/XAuth。为什么传统的浏览器方法不够用?
问问题
4930 次
1 回答
2
这取决于您的应用程序(更准确地说是您的威胁场景)。
一些最常见的威胁是 - 窃听(-> 应该加密) - 中间人(-> 必须验证另一方) - ...你的是什么?(您的 cookie 存储有多安全,......)
一个 cookie 最初只保存一个令牌作为您已成功进行身份验证的证明。如果 cookie 的有效时间足够长或传输未加密,则很有可能有一天有人会发现......
此外,您必须首先考虑采取了哪些额外的安全措施,也是最重要的 SSL。
您的身份验证方法是什么(客户需要什么凭据才能登录)?您是否有可能使用基于 PPK 基础设施的身份验证,或者通信是“临时”的?
编辑
写。对 OpenAuth:据我了解协议,它主要关注的是身份验证委托。您授权代理代表另一个身份执行一些非常具体的任务的场景。这样您就不会在整个网络上散布您的凭据。如果您有 OpenAuth,客户端也可以直接使用该协议。那么为什么还要添加另一个。但是 OpenAuth 明确指出,在直接客户端场景中,您再次遇到安全问题,因为现在令牌在设备上可用,并且必须受到相应的保护(就像您必须使用 cookie 一样)。
于 2010-12-30T14:44:28.953 回答