client_id
クライアント側のアプリにclient_secret
安全に保存するための賢いソリューションはありますか?
これは、逆コンパイルされる Android/iOS アプリである可能性があります。または、それをプレーンテキストで持つ Chrome 拡張機能。
これらが攻撃者に侵害されてアプリになりすました場合、その評判に便乗して、ユーザーにアクセスの承認を促しますよね?
ここにどのようなソリューションが存在するのか興味があります。ありがとう!
モバイル アプリの場合、client_secret をモバイル アプリに保存することは安全ではないため、「承認コード付与」シナリオはお勧めしません。これが、標準が機密クライアントと公開クライアントを区別する理由です (セクション2.1を参照)。
代わりに、「暗黙の付与」シナリオを使用する必要があります (javascript および埋め込みアプリ用に作成)。クライアントはそれを適切に保護できなかったため、client_secret は含まれていません。クライアントは client_id のみを使用します。モバイル クライアントは安全でない可能性があると見なされるため、サーバーは更新トークンを発行してはならず、存続期間の短いアクセス トークンのみを発行してはなりません。