注意:这个项目正在使用react native和相关的库和特性。
我想做的事:
在我的应用程序中,我想允许用户单击一个按钮;并且该按钮将启动本机浏览器(Chrome 或 Safari)并导航到与该按钮关联的链接,同时传递在 Biometrics 后面的应用程序中保护的用户身份验证令牌。
注意:我可以控制应用程序和网站端点,因此我可以将端点配置为接受此令牌并允许用户进入而不提示他们登录。
据我了解,只需通过查询字符串将身份验证令牌附加到 url 的末尾即可轻松完成此操作。根据我的理解,这是不安全的。
安全问题:
- 链接会在设备上触发一个意图,不是所有应用程序都能够读取/记录该意图吗?这是否意味着恶意应用程序可以捕获链接意图(包括 url 和令牌)并危及安全性?
问题:
如何使用本机链接(或其他库)让设备打开本机浏览器,然后向该本机浏览器提供对所有其他应用程序不可见的标头或信息?
可能的解决方案:
我可以让我的应用程序将用户令牌提交到服务器端数据库;完成此操作后,我可以通过查询字符串传递密钥或标识符,并从网站上的数据库服务器端检索令牌。这些数据可以加密;超时时间很短;包括私人握手以验证请求服务;只响应一个(或一个范围的)IP 地址以降低安全风险,但是这个选项很复杂并且有多个故障点。我希望有更多的方向选择。
综上所述:
- 我对链接的担忧是否无关紧要?
- 这个问题有官方解决方案吗?