0
當Android oauth 2.0客戶端應用程序的客戶端ID和客戶端密鑰以硬編碼形式存在於其中時。反編譯應用程序並檢索證書非常容易。 那麼將這些憑據提供給oauth服務器有什麼用處。如何保護Oauth 2.0客戶端ID和客戶端密鑰
A
回答
2
不建議硬編碼client_id和client_secret到本機應用程序,即使用所謂的「機密客戶」究竟中移動應用場景,因爲client_secret不能保持祕密。
本機應用通常是授權服務器的「公共客戶端」,即沒有client_secret的「公共客戶端」。安全性來自於一個唯一的重定向URI被註冊並且PKCE(https://tools.ietf.org/html/rfc7636)等額外的OAuth功能被應用。
有關使用OAuth 2.0原生應用的一般建議,請參閱:https://tools.ietf.org/html/draft-ietf-oauth-native-apps,特別是安全方面的考慮在:https://tools.ietf.org/html/draft-ietf-oauth-native-apps-10#section-8
相關問題
- 1. OAuth2:如何生成客戶端ID和客戶端密鑰?
- 2. OAuth 2.0如何加密客戶端ID和祕密
- 3. 如何使用ASP.NET創建出一個客戶端ID和一個客戶端密鑰的Oauth 2.0服務器?
- 4. 如何生成OAuth 2客戶端ID和密鑰
- 5. 驗證客戶端ID和密鑰OAuth2
- 6. Java orkut客戶端,OAuth密鑰問題
- 7. 如何在OAuth2中從MVC5獲取客戶端ID和客戶端密鑰?
- 8. OAuth 2.0 - 客戶端密鑰是否必須是「祕密」?
- 9. 保護客戶端機器上的客戶端密碼
- 10. 如何從PayPal帳戶獲取客戶端ID和密鑰
- 11. 獲取Youtube API文件client_secrets.json的客戶端ID和客戶端密鑰
- 12. 客戶端ID和客戶端訪問foursquare API的祕密
- 13. API客戶端密鑰
- 14. Google Apps Marketplace設置我的應用的客戶端ID和客戶端密鑰
- 15. 保護密碼客戶端Firebase
- 16. Clarifai客戶端請求客戶端密碼和ID
- 17. 保護HTTPS客戶端
- 18. 保護客戶端json
- 19. WCF服務和客戶端客戶端如何交換證書密鑰?
- 20. OAuth客戶端Java
- 21. 如何刪除Google App Engine OAuth 2.0客戶端ID?
- 22. 客戶端證明公鑰加密
- 23. 如何在客戶端保護socket.io?
- 24. 如何保護客戶端MongoDB API?
- 25. Facebook客戶端OAuth 2.0問題
- 26. 客戶端的OAuth 2.0定義
- 27. 保護客戶端(JavaScript,Android,iOS等)上的API密鑰
- 28. 保護用於客戶端處理的數據庫密鑰
- 29. 如何使用OAuth保護客戶端腳本,如小部件?
- 30. Google OAuth:無效客戶端oauth客戶端未找到