1
我用oath2做了我自己的認證服務器(不使用任何Facebook或谷歌),我想知道在哪裏首先將客戶端密鑰存儲在移動設備上。由於共享首選項可能侵入rooted電話,並且acces令牌請求需要客戶端ID,所以我正面臨一個問題。oauth2如何在android手機上存儲客戶端密碼以便請求訪問令牌?
(如複製,因爲我沒有找到一個類似的帖子答案,請不要紀念這個問題)
A
回答
3
您,當您使用授權碼流需要在客戶端ID和密鑰。此流程通常用於客戶端受到高度信任的情況下,例如從服務器運行的API。在不希望存儲客戶機密鑰的情況下,隱式流程是更好的選擇。
隱式流程與授權代碼流不同,授權服務器返回響應。隱式流直接返回access_token。要獲得長時間的有效會話,您可以請求刷新令牌以及訪問令牌。噹噹前訪問令牌變爲無效或過期時,刷新令牌可用於獲取新的訪問令牌。
如果您有任何其他問題,請讓我知道。
謝謝, Soma。
+0
噢,真的非常感謝你的迴應,並且對我的英語感到抱歉...這是我的謝意:)! 讓我先解釋一下情況。這是一個基本的用例。我在沒有網站的移動設備(android和iOS)上爲我的應用做了一個oauth2服務器。它不打算用於其他應用程序(至少目前...)。據我所知,這是授權流程的目標,在創建新客戶端時必須通過此重定向。 你能解釋一下我一步一步的過程嗎? – Johnduff
+0
什麼是客戶?在我的情況下,我的所有用戶只有1個客戶端,因爲我是我的誓言服務器中唯一的«演員»?在這種情況下,我明白如何在用戶登錄時通過傳遞客戶端ID來隱式執行。 但我仍然不明白在請求隱式流中的訪問令牌時重定向url的用途以及如何處理在移動... 真的非常感謝您的幫助。我認爲這個問題可以幫助其他人。 – Johnduff
+0
嗨,用戶需要身份驗證時重定向到登錄頁面。 redirect uri會通知驗證服務器驗證身份後向用戶發送消息的位置。 IOS應用程序可能是一個客戶端,Android可能是另一個客戶端客戶端已在認證服務器上預先註冊。希望這可以幫助。謝謝。 –
相關問題
- 1. Spring sso oauth2客戶端無法請求訪問令牌
- 2. OAuth2刷新令牌。如何將其存儲在客戶端
- 3. 在Javascript客戶端(例如Angular)中存儲OAuth訪問令牌
- 4. Spring-Security-OAuth2 - 如何添加字段以訪問令牌請求?
- 5. OAuth2令牌驗證和機密客戶端
- 6. Google-API客戶端請求訪問令牌
- 7. 在Spring Security的用戶名 - 密碼授權中使用刷新令牌請求新的訪問令牌OAuth2
- 8. Spring OAuth2 - 在令牌存儲區中手動創建訪問令牌
- 9. 如何在Android中存儲Google API客戶端連接令牌
- 10. 如何訪問客戶端頭請求
- 11. 將OAuth2訪問令牌配置爲typescript-angular2客戶端
- 12. 沒有訪問令牌的OAuth2客戶端
- 13. Azure AD OAuth2訪問令牌請求錯誤 - 400錯誤請求
- 14. 存儲twitter訪問令牌客戶端是否安全?
- 15. 我應該從客戶端的LoopBack存儲訪問令牌,以便將來訪問?
- 16. 我可以使用OAuth2訪問令牌爲其他客戶端獲取訪問令牌嗎?
- 17. 訪問令牌時拒絕oauth2請求的訪問
- 18. Google API客戶端刷新OAuth2令牌
- 19. 找不到客戶端令牌,請設置客戶端令牌
- 20. 權限API:存儲訪問令牌和令牌機密供以後使用
- 21. Google OAuth2服務帳戶訪問令牌請求給出'無效請求'響應
- 22. 在Oauth2令牌請求中隱藏密碼URL
- 23. Facebook客戶端永久訪問令牌
- 24. 客戶端綁定訪問令牌
- 25. 如何使用Google API PHP客戶端獲取OAuth2訪問令牌?
- 26. 我的OAuth2客戶端是否也可以發出自己的訪問令牌?
- 27. OAuth:存儲訪問令牌和祕密
- 28. 爲什麼Google OAuth2需要客戶端密鑰並刷新令牌才能獲取訪問令牌?
- 29. 如何在golang/oauth2客戶端庫中處理刷新令牌
- 30. Clarifai客戶端請求客戶端密碼和ID
你面臨的問題究竟是什麼?就共享首選項而言,Android設備不需要是root用戶。 (http://developer.android.com/reference/android/content/SharedPreferences.html) – Naman
嗨,我不是說這個設備必須被植根!我敢說,一個擁有根深蒂固的手機的人可以訪問共享的pref,然後攻擊客戶端的祕密...... 這不是關於共享pref的問題,而是oauth2 mecanism中的「如何做」。 auth2協議需要客戶端ID來檢索具有授權密碼的訪問令牌。將客戶端ID存儲在手機上似乎很糟糕。所以如何在用戶設置密碼和登錄時檢索acces令牌。然後,我是否也必須將共享首選項中的訪問令牌存儲?感謝幫助 ! – Johnduff