モバイルアプリの OAuth 認証に Django OAuth Toolkit と Django Rest を使用しています。保護されたリソースにアクセスするには、アプリのクライアント ID とシークレットが必要です。クライアント シークレットはどこに保存すればよいですか。逆コンパイルされる可能性があるため、APK への保存は安全ではありません。難読化もリバース エンジニアリングできます。次に、クライアントシークレットをアプリに提供するための最良かつ安全な方法は何ですか.
質問する
1308 次
1 に答える
0
クライアント ID を隠しておくことはそれほど重要ではありませんが、アプリのどこかにクライアント シークレットを保存しないのは正しいことです。それを公開すると、セキュリティが確実に損なわれます。
あなたの場合、 Password Grant タイプ(私の個人的な好み)を使用する OAuth アプリをセットアップするか、サーバーでユーザーを認証して、将来の要求で使用する有効期限のあるアクセス トークンを付与することができます。これらは、モバイル アプリで一般的な 2 つの異なる「OAuth フロー」です。
また、モバイル アプリでの OAuth の使用を説明するのに役立つイラストが含まれていると思われる、このぎこちないタイトルのスライドショーもあります。
于 2015-06-20T01:44:00.027 に答える