1
我使用Django OAuth Toolkit和Django Rest來進行OAuth身份驗證,以用於移動應用程序。爲了訪問任何受保護的資源客戶端ID和應用程序的祕密是必需的。我應該在哪裏存儲客戶端密碼。在APK中存儲是不安全的,因爲它可以被反編譯。即使混淆也可以被反向設計。那麼什麼是最好和安全的方式來爲客戶端應用提供祕密。Django oauth的客戶端密碼
A
回答
0
保持隱藏客戶端ID並不是非常重要,但是您不應該在應用程序中的某處保存客戶端祕密。揭露它絕對會危及你的安全。
對於您的情況,您可以設置一個使用Password Grant type(我的個人偏好)的OAuth應用程序,或者讓您的用戶authenticate with your server授予他們一個expirey訪問令牌以用於將來的請求。這些是移動應用常見的兩種不同的「OAuth流量」。
還有這awkwardly titled slideshow我認爲有一些有用的插圖來描述OAuth與移動應用程序的使用。
相關問題
- 1. 爲什麼不在OAuth中加密客戶端密碼?
- 2. 如何保護Oauth 2.0客戶端ID和客戶端密鑰
- 3. Java orkut客戶端,OAuth密鑰問題
- 4. OAuth客戶端Java
- 5. myBB密碼c#客戶端
- 6. Zend HTTP客戶端密碼
- 7. Google OAuth:無效客戶端oauth客戶端未找到
- 8. GWT/JavaScript客戶端密碼加密
- 9. 保護客戶端機器上的客戶端密碼
- 10. OAuth 2.0如何加密客戶端ID和祕密
- 11. OAuth 2.0 - 客戶端密鑰是否必須是「祕密」?
- 12. Clarifai客戶端請求客戶端密碼和ID
- 13. Java中的客戶端和服務器端密碼加密
- 14. 客戶端加密
- 15. 谷歌oauth 2.0客戶端祕密可以在客戶端硬編碼.apk(android)或.xap(wp7)?
- 16. OAuth - 在您的應用程序中嵌入客戶端密鑰?
- 17. 用於密碼的客戶端/服務器密碼學
- 18. 客戶端密碼生成器(Javascript)
- 19. 保護密碼客戶端Firebase
- 20. IdentityServer4存儲客戶端密碼
- 21. 的Java隸客戶端使用OAuth 2資源所有者密碼憑據
- 22. MVC4/DotNetOpenAuth中的自定義OAuth客戶端 - 缺少訪問令牌密碼
- 23. 使用md5.js和PHP解密的客戶端密碼加密
- 24. 如何生成OAuth 2客戶端ID和密鑰
- 25. Google聯繫人API + API密鑰+ OAuth = 401客戶端錯誤
- 26. 使用客戶端哈希密碼密碼
- 27. OAuth客戶端實現中的差異
- 28. 客戶端的OAuth 2.0定義
- 29. Twitter客戶端的Oauth Athentication爲Android
- 30. 的Oauth API客戶端收到錯誤
這是我如何配置的Oauth應用 - 用於刷新令牌 客戶端類型機密,授權格蘭特類型密碼 現在 - '捲曲-X POST -d「grant_type = refresh_token&CLIENT_ID =&client_secret = &refresh_token = < your_refresh_token>「http:// example.com/o/token /' 因此,對於android應用程序或任何客戶端應用程序,我應該在哪裏存儲這個客戶端的祕密? –