1

当用户在移动应用程序(iOS、Android 或 Windows 应用程序)中输入用户名和密码时,它会调用第三方 oAuth 登录 Web 服务,该服务会使用 oAuth 访问令牌和刷新令牌进行响应。现在应用程序生成一个 JWT 并使用存储在应用程序中的密钥进行签名。此 jwt 用于对一组内部 API 进行身份验证

在这种情况下,信任这个 AUTH 模型是否安全?由于一般 JwT 是在服务器端生成的,所以保持了完整性。

在移动应用程序中签署 jwt 的陷阱是什么?存储在应用程序中的秘密签名密钥会被泄露吗?

4

1 回答 1

0

存储在应用程序中的秘密签名密钥会被泄露吗?

是的,签名密钥可能会被泄露。这可以通过反编译您的应用程序可执行文件来完成。

您可以利用每个平台提供的安全存储,而不是将令牌存储在 sqlite 数据库或本地文件中。

对于 iOS,您可以简单地使用Keychain,这是一种用于此目的的安全存储。

对于 Android,Keystore提供了类似的功能。

于 2018-05-13T18:12:59.313 回答