GData，OAuth和iPhone - 在處理訪問令牌時保持安全性

Question

我想獲得OAuth訪問令牌客戶端（iPhone）並將訪問令牌發送回我的服務器以代表用戶發出gdata請求。基本上我的問題是，這是安全的嗎？不能有人嗅出連接和拉訪問令牌並惡意使用呢？

谷歌允許您使用「匿名」作爲消費者密鑰和祕密HMAC-SHA1簽名模式，這是我在做什麼來驗證「未登記」的應用程序。然後，我將獲取的訪問令牌服務器端傳遞給我的數據操作。它的工作原理非常棒，但我對解決方案存在安全問題。

感謝您的意見！

Answer 1

是您的服務器的安全？你使用https發出請求嗎？此外，是否註冊獲得一個實際的消費者密鑰/祕密出了問題？訪問令牌僅適用於生成它的消費者密鑰/祕密。如果您要註冊，那會增加另一級別的安全性（因爲您的消費者密鑰/祕密只會被您知道），但我總是建議從應用程序到您的服務器的通信應通過安全連接完成。