重複の可能性:
独自のモバイル アプリでの認証
API へのアクセスを保護するために、OAuth2 の実装に成功しました。まだ質問があります。
私は実際に公式アプリを開発していますが、明らかに「このアプリが自分のデータにアクセスすることを許可する」というステップをスキップする必要があります (ちなみに、Facebook と Google には自社製品用のこのステップがありません)。
従来の認証方法 (API を使用する私の Web サイトなど) を使用することもできますが、(携帯電話が盗まれた場合などに) 公式アプリを取り消すことができる必要があると思います。Google と Twitter は、公式アプリを取り消す可能性を提供しています。公式アプリでもOAuthを使っていると思います。
私の質問は次のとおりです。 ソース コードはあまり安全ではないと思うので (ハッカーがリバース エンジニアリングを使用できる)、公式アプリケーションを特定するにはどうすればよいですか (オンデマンドでアクセス トークンを提供するため)。
要約すると、アプリのソース コードに秘密鍵を保存することはできません (安全ではありません) が、アプリがユーザーに受け入れられる必要はありません。
アイデアはありますか?
事前に感謝します。私の下手な英語をお許しください。