問題タブ [auth-token]

このGoogleガイドのおかげでGCM登録ID（プッシュ通知用）を受け取り、reg.idをデータベースに保存でき、認証なしですべて正常に動作します。Web API 2、oauth 2 認証、およびアカウント マネージャーを使用しています。

1) ユーザーがアプリケーションにサインインすると、アプリはユーザーのアカウントを作成します。
- または、アカウントが存在する場合は、ユーザーを自動サインインし
ます
。前に受け取ったID。そうでない場合、アプリは登録を要求します。GCM から id を取得し、Volley を介してサーバーに投稿し (ここでは AuthToken が必要です)、アプリはその reg のアカウントにユーザーデータを設定します。idを受け取りました。

現時点では私の頭の中にしか存在しない私のアプリの上記の流れで、いくつか質問があります。

まず、ガイドに従って、最初に認証トークンを取得し、IntentService であるステップ 3 に移動するにはどうすればよいですか。

次に、最初の質問ができたとしましょう。ユーザーが別のデバイスから自分のアカウントにログインするとどうなりますか? 彼の登録を更新する必要がありますか。彼の新しいデバイスのID。しかし、このデバイスが一時的なもので、彼が恒久的なデバイスを使用するために戻ってきた場合はどうなるでしょうか? 最後にサインインしたデバイスが一時デバイスだったため、通知は一時デバイスに送信されます。

私は本当に混乱しており、私の道を照らしてくれる人には感謝しています. ありがとう。

編集

Google のガイドに従う代わりに (IntentService を使用する代わりに)、AsyncTask で認証トークンと登録 ID(トークン) の両方を取得することは可能ですか?

同じアカウント タイプで動作する 2 つのアプリがあります。ユーザーが 2 つ目のアプリを初めて開いて、1 つのアカウントが存在するときに、以下のページが表示されるようにします。

しかし、このコードを実行しても何も起こりません:

上記のコードは、オーセンティケーターを持つアプリから実行すると正しく機能します。代わりに以下のコードを実行すると、クリックすると上の画像が表示されるという通知がシステムによって生成されます。

許可ボタンをクリックすると、AuthToken正しく返されます。getAuthTokenただし、通知をクリックするのではなく、呼び出し時に許可付与ページ (上の画像) を表示したい。どうやってやるの？

AccountManager を使用してアプリケーション アカウントを Android に保存していますが、認証トークンをデバイスに保存したいと考えています。ログインして addAccountExplicitly を実行するたびにアプリ アカウントが追加されますが、もう一度ログインして setAuthToken を再度実行するまで setAuthToken は機能しません。以下は、アカウントを追加してauthTokenを設定するための私のコードです

authToken を AccountManager に保存するために 2 回ログインする必要がある理由を知っている人はいますか?

https://stackoverflow.com/a/7209263/1225328から:

リフレッシュ トークンの考え方は、アクセス トークンが侵害された場合、有効期間が短いため、攻撃者がそれを悪用できる期間が限られているというものです。

わかりましたが、攻撃者が更新トークンにアクセスすると、新しい認証トークンを取得できるようになります。間違っていますか? これは、長寿命のトークンのセキュリティ上の欠陥を延期するだけのようです...

この点に関しては、同じ回答で次のことがわかります。

攻撃者はアクセス トークンを取得するために、更新トークンに加えてクライアント ID とシークレットを必要とするため、侵害された場合、更新トークンは役に立ちません。

それでは、更新トークンを使用することと、単にサインインすることの違いは何ですか? また、ユーザーが再入力する必要がないようにするには、クライアント ID とシークレットをどのように保存しますか?

@FStephenQが指摘したように、更新トークンは 1回しか使用できません。その後、攻撃者は新しい認証トークンを取得できますが、1 回だけであり、有効期間は短いです。では、既に使用したリフレッシュ トークンを取得するにはどうすればよいでしょうか。トークンを使用するときに新しいトークンを取得すると、攻撃者も自分のトークンを更新できます...

実際の問題は、ユーザーのサインインを維持するにはどうすればよいかということです。私が使用しているアプリでは、一度サインインすると、再度サインインする必要はありません。

私はトークンベースの認証システムを使用するアプリケーションに取り組んでおり、ユーザーはユーザー名/パスワードを提供し、その見返りにトークンを受け取ります (トークンはデータベースにも保存されます)。その後のリクエストには、このトークンがカスタム ヘッダーとして含まれ、これを使用してユーザーを識別できます。これはすべてうまくいきます。

現在、ユーザーが 3 日間ログインしない場合、トークンは失効します。OAuth のリフレッシュ トークンについて少し読んでいて、どうにかして似たようなものを実装できないかと思っていました。つまり、認証トークンを提供するときに、後で新しい認証トークンを要求するために使用できる更新トークンも提供します。ただし、セキュリティの観点からは、そもそもユーザーの認証トークンを期限切れにしないことと非常に似ているようです。ユーザーを検証するために、更新トークンと共に追加情報を送信する必要がありますか?

以下のコードを使用して取得しようとしauth Access tokenました。このコードに基づいて、Paypal の完全なトランザクションの詳細を取得します。以下のコードは Lollipop 以降では正常に動作しますが、バージョン以下の Lolipop でアプリを実行すると、Paypal SDK から応答がありません。この問題について多くの研究開発を行いました。解決策を教えてください。Lollipop以降の私の作業コード:

以下のロリポップの解決策を教えてください。

Jmeterを使用してテストする必要がある内部Webアプリケーションがあります。アプリケーションは、ユーザー名、パスワード、および認証トークンとして安全に保護されています。認証トークンは、新しいセッションごとに変化しています。セキュア トークンをパススルーできません。トークンは URL に含まれており、次のようになります。

そのため、URL で現在のトークンを送信した場合にのみ、Jmeter を正常に実行できます。毎回すべての場所 (35) でトークンを送信しないようにする方法があれば教えてください。

[![ここに画像の説明を入力][1]][1]

私のAUTH_TOKEN

正規表現