的OAuth - 安全對共享消費鍵/密鑰和訪問令牌

Question

我一直在努力建立一個服務提供商，看到的是，使代表用戶的請求時，列表中的所有，這似乎是需要的是消費者密鑰/祕密和令牌密鑰/祕密。

從什麼與我的服務供應商註冊，得到一些用戶的授權訪問他們的一些數據，然後給訪問令牌和消費者信息客場第三方停止消費？

這是否歸結於我們把信任我們的消費者，他們不會做這樣的信任問題？有什麼辦法可以通過任何監控來阻止這種活動？我們希望提供OAuth解決方案，但我們不希望廣泛擔心惡意消費者。

感謝您的任何見解。

Answer 1

有參與Twitter的OAuth實現的4個標記。

1. 消費重點
2. 用戶端密鑰
3. OAuth令牌
4. 的Oauth令牌密鑰

在Web應用程序的情況下，最終用戶從來沒有訪問令牌1 & 2因爲他們從未傳輸給客戶。與Twitter API的通信是服務器到服務器。在這種情況下，風險較低。

在一個桌面應用程序的情況下，「消費」鍵通常嵌入在以某種方式二進制文件。這是Twitter實施OAuth時公認的安全問題。一個有決心的人可以反編譯/破解/不混淆幾乎任何二進制文件來獲取您的使用者密鑰。

因此，要回答你的問題：對於桌面/移動應用程序，這絕對是一個信任問題。就網絡應用而言，情況並非如此。