私はIDサーバーで暗黙のクライアントを使用していますが、一方でネイティブのAndroidアプリがあり、
私のセキュリティ上の懸念は次のとおりです。
1-アプリのリバース エンジニアリング:攻撃者がclient_Id
、redirect_uriおよび/またはresponse_type、ログイン要求を模倣することができます。
これを行うことにより、彼は元のクライアントになりすますことになります
2-中間者: それらclient_idは、暗号化されていない https URI を介して ID サーバーに送信されます。ヘッダーにそれらを非表示にしないのはなぜですか?
3- ブラウザは URI のトークンを再送信し、リダイレクト URI がoobまたはlocalhostでない場合、中間者にそれを明らかにします。ブラウザのデフォルトの動作はロケーションにリダイレクトするため、開発者がクライアントを登録するときに oob を使用するように強制できます。 、
ブラウザがリクエストを送信する前に、アプリがトークンを読み取っていないと言って、ブラウザを非常に速く閉じることができます。
ブラウザを閉じるアプリの速度に本当に頼ることができますか?
どの質問が正当な懸念であり、どれがそうでないか、また、正当な懸念を解決する方法。
ポイント 1 について: Google は Google マップなどのサービスをどのように保護しているか、クライアントの見積もりは非常に重要であり、非常に安全でなければなりません。
編集
client_id をヘッダーに渡して暗号化すると、http 1.1 仕様と oauth2 仕様に違反しますが、多くのことはしていません。