OAUTH 2.0 RFP ドキュメント全体を読みましたが、少し混乱しています。
ネイティブ IOS アプリケーションを開発していて、自分のユーザー資格情報を使用して Facebook アカウントへのアクセスを承認したいとします。
資格情報の侵害を防ぐためのベスト プラクティスは何ですか?
つまり、単純なキーロガーが Facebook 認証ページに入力されたユーザーとパスワードをログに記録する際の問題は何ですか?
何か不足していますか?
どんな助けでも大歓迎です!
1 に答える
0
Facebook認証ページに入力されたユーザーとパスワードを単純なキーロガーが記録する問題は何ですか?
理論上?何もない。
何か不足していますか?
はい... グローバルな考慮事項/懸念事項が欠けています... ユーザー名/パスワードのセキュリティは、それらを使用して認証するシステムと同じくらい強力です。ここで決定的な要因となるのは、クライアント/システムに対するあなたの信頼です...
OAuth のポイントは、サード パーティ アプリケーションにリソースへの制限付きアクセスを許可することです。これは、SSO 認証にも使用できます。
SSO のために iPhone アプリで Facebook を使用するには、アプリがユーザーを Facebook アプリに転送/リダイレクトします。Facebook アプリは認証を処理し、認証トークン (認証トークン) を使用してユーザーをアプリに返す/リダイレクトします。ユーザーがすでに Facebook にログインしており、アプリを既に承認している場合、これは基本的にバックグラウンドで行われます。
ポイントは、認証の責任が Facebook アプリに移されることです。システムが侵害された場合、リークは主にアプリの外部と Facebook アプリで発生します...しかし、これはシステムのセキュリティと信頼性というより大きな問題を示しています。
資格情報の侵害を防ぐためのベスト プラクティスは何ですか?
auth_token は基本的にユーザー名とパスワードの組み合わせと同じであることを理解してください。iPhone の場合、おそらく情報を保存する必要はありません (代わりに Facebook インスタンスを利用するだけです)。ただし、何らかの理由で情報を保存する必要がある場合は、安全に保管してください。
よりグローバルな視点から?- 信頼できるシステムに対してのみ、ユーザー名とパスワードを提供してください (簡単です)。
于 2011-11-27T14:05:45.480 に答える