1
我讀完了整個OAUTH 2.0 RFP文檔,我有點困惑。如何防止在OAUTH本機應用程序上損害用戶憑據
假設我開發本地IOS應用程序,並且想使用我的用戶憑據授權它訪問我的Facebook帳戶。
防止憑證泄漏的最佳做法是什麼?
我的意思是,簡單的鍵盤記錄器記錄輸入到Facebook身份驗證頁面的用戶和密碼有什麼問題?
我錯過了什麼嗎?
任何幫助將不勝感激!
A
回答
0
簡單的鍵盤記錄程序記錄輸入到Facebook驗證頁面的用戶和密碼有什麼問題?
理論上?沒有。
我錯過了什麼嗎?
是......您錯過了全球考慮/關注......用戶名/密碼安全性與使用它們進行身份驗證的系統一樣強大。它是在客戶機/系統,這裏是決定性因素的信任......
的OAuth的一點是要授予第三方應用程序資源的機會有限 - 這也可以被用於SSO認證..
要在iPhone應用程序中使用Facebook進行SSO,您的應用程序會將用戶轉移/重定向到Facebook應用程序。 Facebook應用程序處理身份驗證,然後使用身份驗證令牌(身份驗證令牌)將用戶返回/重定向回您的應用程序。如果用戶已經登錄到Facebook並且已經授權了您的應用程序,這實質上發生在後臺。
問題的關鍵是認證的責任轉移到Facebook應用程序。如果系統受到破壞,泄漏將主要發生在您的應用程序之外,並在Facebook應用程序中......但是這再次指出了一個更大的問題 - 系統的安全性和可信性 - 如果其受到威脅,則會受到威脅。
防止憑證泄漏的最佳做法是什麼?
明白auth_token與用戶名/密碼組合基本相同。使用iPhone,您可能不需要存儲它(而只是使用Facebook實例),但是,如果出於某種原因,您確實需要存儲信息 - 保護它。
從更全局的角度來看? - 只提供你的用戶名和密碼到你信任的系統上(不需要)。
相關問題
- 1. 如何防止損害應用內購買收據?
- 2. 如何防止應用程序被安裝在Android手機上
- 3. 防止oAuth 2.0 Google Drive憑據過期
- 4. clickonce關於損害計算機的應用程序消息
- 5. OAuth 2.0如何防範受損客戶?
- 6. 如何防止用戶在Android上「強制停止」我的應用程序?
- 7. 當應用程序意外退出時防止數據損壞
- 8. 防止UILocalNotifications當應用程序被殺害
- 9. 防止應用程序關機iPhone
- 10. 在基於瀏覽器的應用程序中使用OAuth「客戶端憑據」
- 11. 如何在OSX上停止/關閉本機CouchDB應用程序?
- 12. 防止用戶在Android上殺死應用程序
- 13. 如何防止Facebook應用程序被機器人使用
- 14. 防止在手機上安裝Android Wear應用程序
- 15. 如何在Google API中使用Web應用程序生成的令牌填充本機應用程序憑據?
- 16. 如何防止用戶訪問部署在Cloudfoundry上的應用程序
- 17. 如何防止我的應用程序
- 18. 如何防止應用程序執行?
- 19. 如何防止用戶查殺C#應用程序
- 20. 如何防止POST請求上的應用程序池停止?
- 21. 防止用戶訪問應用程序數據庫
- 22. 如何防止應用程序在iphone上啓動
- 23. 如何防止在iTunes Connect上丟失應用程序名稱
- 24. 如何防止PDFBox應用程序菜單(在OS X上)
- 25. 如何防止我的應用程序在Android上被卸載
- 26. 如何防止在iPad上安裝應用程序
- 27. android如何防止手機從playstore下載應用程序?
- 28. 防止Web應用程序
- 29. 防止共享用戶憑證
- 30. 在Flex應用程序中使用Sharepoint用戶憑據?