我讀完了整個OAUTH 2.0 RFP文檔,我有點困惑。如何防止在OAUTH本機應用程序上損害用戶憑據
假設我開發本地IOS應用程序,並且想使用我的用戶憑據授權它訪問我的Facebook帳戶。
防止憑證泄漏的最佳做法是什麼?
我的意思是,簡單的鍵盤記錄器記錄輸入到Facebook身份驗證頁面的用戶和密碼有什麼問題?
我錯過了什麼嗎?
任何幫助將不勝感激!
我讀完了整個OAUTH 2.0 RFP文檔,我有點困惑。如何防止在OAUTH本機應用程序上損害用戶憑據
假設我開發本地IOS應用程序,並且想使用我的用戶憑據授權它訪問我的Facebook帳戶。
防止憑證泄漏的最佳做法是什麼?
我的意思是,簡單的鍵盤記錄器記錄輸入到Facebook身份驗證頁面的用戶和密碼有什麼問題?
我錯過了什麼嗎?
任何幫助將不勝感激!
簡單的鍵盤記錄程序記錄輸入到Facebook驗證頁面的用戶和密碼有什麼問題?
理論上?沒有。
我錯過了什麼嗎?
是......您錯過了全球考慮/關注......用戶名/密碼安全性與使用它們進行身份驗證的系統一樣強大。它是在客戶機/系統,這裏是決定性因素的信任......
的OAuth的一點是要授予第三方應用程序資源的機會有限 - 這也可以被用於SSO認證..
要在iPhone應用程序中使用Facebook進行SSO,您的應用程序會將用戶轉移/重定向到Facebook應用程序。 Facebook應用程序處理身份驗證,然後使用身份驗證令牌(身份驗證令牌)將用戶返回/重定向回您的應用程序。如果用戶已經登錄到Facebook並且已經授權了您的應用程序,這實質上發生在後臺。
問題的關鍵是認證的責任轉移到Facebook應用程序。如果系統受到破壞,泄漏將主要發生在您的應用程序之外,並在Facebook應用程序中......但是這再次指出了一個更大的問題 - 系統的安全性和可信性 - 如果其受到威脅,則會受到威脅。
防止憑證泄漏的最佳做法是什麼?
明白auth_token與用戶名/密碼組合基本相同。使用iPhone,您可能不需要存儲它(而只是使用Facebook實例),但是,如果出於某種原因,您確實需要存儲信息 - 保護它。
從更全局的角度來看? - 只提供你的用戶名和密碼到你信任的系統上(不需要)。