4

我创建了一个使用 AppAuth 通过 Google OAuth 进行身份验证的 Android 应用程序。在 Google Cloud Platform Console 中,我为我的应用创建了一个 Android OAuth 2.0 客户端 ID,并提供了应用包名称和签名证书指纹。一切正常。

我想验证只有我的应用程序可以使用该客户端 ID。所以我用不同的包名创建了第二个应用程序,并用不同的签名证书对其进行了签名。使用相同的客户端 ID,我仍然能够通过 Google 进行身份验证并访问 API。我不认为应该是这样。我正在查看 AppAuth 的源代码,它看起来不像在身份验证流程中使用过应用程序签名或包名称。它当然使用 PKCE,但我预计会发生更多。

因此,如果我可以毫不费力地窃取我自己的客户端 ID,那么如何阻止其他人从我的 APK 中提取我的客户端 ID 并将其用于身份验证?我用于重定向 URI 的自定义方案很容易根据我的包名称找出。因此,rouge 应用程序可以配置 AppAuth 以使用类似的重定向 URI 并捕获授权结果。而且由于 PKCE 仅用于验证授权请求和代码交换来自同一个地方,因此一个 rouge 应用程序会同时执行这两种操作,因此那里也没有真正的保护。

我可以将客户端 ID 类型切换为 Web 或其他,但这需要我使用客户端密码,如果将其嵌入应用程序中,这同样不安全。

我是否遗漏了什么,或者 Google OAuth 是否完全按照预期工作?

4

3 回答 3

2

对于客户端 Google OAuth 2,您的客户端 ID 并不重要。客户端执行 OAuth 流程并且客户端接收 OAuth 令牌。神奇的是客户必须授权谷歌。任何人都可以窃取您的客户 ID,但他们无能为力。作为 OAuth 生命周期的一部分,您应该验证 OAuth 令牌。你的后端不应该盲目地接受来自客户的任何东西——或者任何不受你绝对控制的地方。

您的客户 ID 不是秘密,您可以在代码中明确说明。

必须保密的是客户机密。Client Secret 不参与客户端身份验证。客户端密码用于您的后端服务器。

我认为你混淆了这个过程。当客户端应用程序(您的应用程序、网络浏览器等)通过 Google 帐户进行身份验证时,您的应用程序未获得授权。客户端正在被授权。客户应该对他们访问的网站(或应用程序)做出良好的判断,并使用他们的谷歌登录名。客户可以使用他们的令牌做的唯一事情就是访问他们自己的数据(Google Drive、Gmail 等)。如果您的后端服务器接受客户端的 OAuth 令牌来管理访问,那么您有责任验证该令牌及其在您的系统上的所需用途以及该令牌的授权来源。

更好的选择是在后端(例如您的 Web 服务器)上执行身份验证和授权。然后,您可以实施 Google OAuth 重定向以将 OAuth 令牌发送到您的服务器。您受到保护,因为只有授权的来源(例如您的域名)和授权的重定向 URI(您的 Web 服务器上的端点)可以参与身份验证过程。然后,您将令牌存储在您的客户端会话中,必要时更新,根据需要添加授权范围等。

我经常使用这两种方法(客户端、服务器端)并且都运行良好。

于 2018-12-05T01:06:14.703 回答
1

我想我会在这里添加一个附言,与金融级 API中的移动应用程序的建议有关,以使用声明的 HTTPS 方案来接收登录响应。这将客户端 ID 的使用限制为具有您的数字签名的应用程序。

有关更多信息,请参阅我的博客文章,其中描述了任何人都可以运行的代码示例:

于 2020-10-23T12:50:16.243 回答
1

只有本机和单页应用程序没有客户端密码,因此它们必须切换到其他应用程序。这里必要的保护是重定向 URL。对于网络托管的单页应用程序,无论如何设置,这都不是问题。它们完全托管在此重定向 URL 上。对于本机应用程序,必须完成另一个步骤。Android 和 iOS 允许使用“App-Claimed https URL Redirection”。这会将 https URL 直接绑定到应用程序。可以请求这些声称的 URL 重定向,然后必须通过特定地址上的签名来确认:https ://developer.android.com/training/app-links/verify-site-associations 。

使用这种方法,为了使用外国的client_id,https重定向必须被假客户端拦截(只有root环境,大多数手机都没有)。通过大量的努力,欺诈者可以使用相同的 client_id 运行另一个前端。在这样的用例中:

  • 使用 API 会产生成本(例如自己的 API)
  • 前端广告产生收入

这是重新考虑架构的原因。

在您描述的用例中,这不是问题,因为您不拥有 API 资源。资源所有者(即登录的 GCP 用户)必须为其 GCP 使用付费。在公共客户端上,您不能让客户端本身通过授权服务器进行身份验证(仅对用户进行身份验证)。

于 2021-03-01T22:27:49.310 回答