我希望用戶使用我Xamarin的MonoTouch應用程序的社交網絡帳戶登錄/後。Xamarin Social存儲應用密鑰而不是服務器是明智的嗎?
Xamarin社會似乎打勾的框,但它是很好的做法/安全的密鑰存儲在移動設備應用程序,而不是在服務器上(因此在集中執行身份驗證和令牌/代碼檢索)?
或者它應該是一個更加混合的方法,其中祕密應用程序密鑰存儲在服務器上,並且在從移動設備向社交授權提供商進行身份驗證時通過Web服務調用傳遞給Xamarin Social(或Xamarin Auth)防止從應用程序本身反編譯密鑰的存儲)?
請指教,我很想知道什麼是我讀過的Instagram的OAuth說明,你不應該把應用程序在移動設備中的祕密OAuth鍵值最佳途徑。
我想而應用的關鍵就是你的應用程序的標識,應嵌入在你混的祕密關鍵問題,例如Facebook應用程序的密鑰是爲了改變應用程序範圍的設置使用Web服務器客戶端,以便客戶端可以撥打正確的Facebook應用程序。
一切,更可以在這裏找到: Access Tokens
,我可以從Instagram Authentication docs讀它看起來非常相似,在那裏你給重定向URL Facebook的OAuth2驗證程序和所有用戶確認之後,用戶會被重定向到(注意,在這種情況下,你不需要提供應用程序的祕密)
但它並不總是這樣,每個社交網絡都有它自己的身份驗證機制,谷歌的Oauth2 API也有「客戶祕密」,但它不是這樣的祕密,例如在JavaScript應用程序中,你必須e應用程序本身,以內部mbed客戶端密鑰認證通過的OAuth2到谷歌可以在這個環節被閱讀: Using OAuth 2.0 to Access Google APIs
因此,使用客戶端機密與否不是關於Xamarin.Social,它的服務器如何嘗試連接工作。
Xamarin社會僅僅是連接到設備的本地帳戶的包裝。所以它沒有存儲任何細節。它只是調用設備特定的功能。 –