使用OAuth2安全驗證移動訪問的選項

Question

我們目前正在實施OAuth2以保護我們的新API並且不確定如何安全地提供所需的功能。我們需要允許從移動設備如下：

下載應用的用戶能夠拍攝照片，並提交它，而無需首先登錄後立即

雖然我們希望允許匿名用戶訪問，在用戶不需要登錄或註冊以使用某些功能的情況下，我們不希望允許對API進行未經驗證的訪問。這通常可以使用client credentials authorization flow來獲取和應用訪問令牌來實現，但這需要了解客戶端的祕密。從我讀到的內容來看，移動設備不被視爲可信客戶端，不應該包含客戶端密鑰，因此不應該能夠自行生成應用訪問令牌。

我們已經想出了幾個選項來完成這一要求，但希望對他們一些輸入：

1. 嵌入在應用程序客戶端機密。從安全的角度來看，這看起來並不理想，但也許我們錯過了一個明顯的方法來保護它？我們至少針對iOS和Android。
2. 離線生成應用訪問令牌並將其嵌入到應用中。仍然不是很安全，但至少祕密沒有暴露。
3. 允許僅使用客戶端ID而不是訪問令牌訪問某些功能。這可能是最簡單的，但它引入了不一致性，需要多種身份驗證客戶端的方式。
4. 構建並使用伴隨網絡應用爲移動應用生成應用訪問令牌。表面上看起來像是一個勝利者，但現在你必須確保訪問同伴應用程序！

如何安全地從移動設備使用OAuth2驗證對API的訪問權限，而無需用戶先登錄？

Answer 1

同意在問：無論是評論：

1）使用客戶端憑證中的OAuth 2批類型 - 在你的應用程序嵌入的祕密。瞭解這不是超級安全的，有人會最終逆向工程。理想情況下，每個客戶都會得到一個獨特的祕密 - 所以如果他們濫用其用途，您可以撤銷客戶。

2.）使用該API開放 - 因此根本不需要OAuth 2訪問令牌。也許這個API只會被你的應用知道 - 但是再一次，有人反向工程師只是時間問題。

Answer 2

我的小組正在進行類似的討論。用戶可以獲取應用程序並瀏覽目錄，而無需登錄。目錄和其他數據是通過API訪問的，我們希望強制用戶爲所有呼叫設置access_token。

我們目前的想法是

• 總是強制應用到一個交換的access_token一個共同的clientId /祕密。所以即使是匿名用戶，該應用也會獲得access_token。這將通過client_credentials oAuth流。
• 如果用戶登錄，請使用oAuth密碼流。他們會通過clientId，祕密，用戶名和密碼。我們還允許他們傳遞他們的匿名標記，以便我們可以從他們的匿名會話中傳輸任何歷史記錄。

因此，例如...

access_token = api.oAuth.client_credentials(clientId, secret) 
catalog = api.getCatalog(access_token) 
authenticated_access_token = api.oAuth.password(clientId, secret, username, password, access_token)