个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
24
4
我的公司正在构建一个 RESTful API,它将返回适度敏感的信息(即财务信息,但不包括帐号)。我可以控制 RESTful API 代码/服务器,并且还在构建 Android 应用程序。我已将 API 设置为使用 OAuth 2 和授权代码授予流程(带有客户端 ID 和密码),并且我自动批准用户而无需他们批准客户端,因为我们同时拥有客户端和提供商。我们将 CAS 用于 SSO,当用户登录以检索 token 时,我将其用于授权服务器作为 OAuth 2 流程的一部分。
我正在考虑各种方法来保护 Android 应用程序上的数据。我得出的结论是,在设备上存储客户端 ID 和密码绝对不会发生,但我认为存储身份验证 token 可能会起作用,因为它只对个人用户构成风险(而且实际上只有当他们碰巧有有根电话)。
这是我想到的两个选项。他们都要求我有一种受 CAS 保护的代理服务器,与 API 服务器共舞,并返回身份验证 token 。这消除了在应用程序代码中存储客户端 ID 和密码的需要。
这是我想出的:
1) 要求用户每次启动应用程序时都需要输入密码才能访问数据。这绝对是最万无一失的方法。如果这样做了,为了方便起见,我可能想保存用户 ID,但在那种情况下无法使用 CAS 登录(因为它是基于 Web 的)。我也许可以在后端使用 headless 浏览器让用户登录 CAS 并根据他们在 Android 表单中输入的内容检索 token ,但这看起来很老套。保存用户 ID 类似于 Chase 应用程序所做的事情(如果您碰巧使用了这个应用程序) - 它会在 session 之间保存用户 ID,但不会保存您的密码。
2) 将授权 token 存储在 Android 设备上。这有点不安全,但几乎是万无一失的。当用户第一次启动应用程序时,打开网页到返回 token 的代理服务器的 CAS 登录(类似于 https://developers.google.com/accounts/docs/MobileApps )。在用户登录并将 token 返回给应用程序后,对其进行加密并将其存储为应用程序专用。此外,使用 ProGuard 混淆代码,使加密算法更难以逆向工程。我也可以在 token 刷新中工作,但我认为这更像是一种错误的安全感。
3) 不要使用 CAS,而是想出另一种方法来获取服务的授权 token 。
关于其他人如何实现类似场景(如果已经完成)的任何建议?
谢谢。
最佳答案
之所以开发像 OAuth 这样的标准,是因为并不是每个人都必须一次又一次地重新考虑相同的攻击 vector 。因此,大多数情况下,坚持使用已有的东西而不是烘焙自己的东西是您的最佳选择。
无法 secret 存储数据的客户端的第一个问题是用户的数据可能会被某些攻击者访问。由于技术上不可能阻止这种情况(代码混淆不会帮助您对抗专家攻击者),OAuth 2 中的访问 token typically expires在很短的时间之后,并且不给攻击者完全访问权限(受范围限制)。当然,您不应该在这样的设备上存储任何刷新 token 。
第二个问题是client impersonation .攻击者可以窃取您的客户端密码并在他自己的(可能是恶意的)应用程序中访问您的 API。用户仍然必须自己登录。那里的 OAuth 草案要求服务器尽其所能防止这种情况发生,但这真的很难。
The authorization server MUST authenticate the client whenever possible. If the authorization server cannot authenticate the client due to the client's nature, the authorization server MUST require the registration of any redirection URI used for receiving authorization responses, and SHOULD utilize other means to protect resource owners from such potentially malicious clients. For example, the authorization server can engage the resource owner to assist in identifying the client and its origin.
我认为 Google 率先尝试了另一种方法来验证此类设备上的客户端,即检查应用程序的签名,但他们还没有准备好迎接黄金时段。如果您想更深入地了解该方法,请参阅 my answer here .
目前,您最好的选择是继续使用 OAuth 方式,即拥有访问 token 、客户端 ID 和客户端密码(在设备上使用授权代码授予流程时),并配置您的服务器以执行其他检查。如果您觉得混淆这些更安全,那就去做吧,但始终将其视为这些值是公开可用的。
关于java - 如何保护从 OAuth 保护的资源中提取数据的 Android 应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11992503/
24
4
0
我正在通过 labrepl 工作,我看到了一些遵循此模式的代码: ;; Pattern (apply #(apply f %&) coll) ;; Concrete example user=> (a
我从未向应用商店提交过应用,但我会在不久的将来提交。 到目前为止,我对为 iPhone 而非 iPad 进行设计感到很自在。 我了解,通过将通用PAID 应用放到应用商店,客户只需支付一次就可以同时使
我有一个应用程序,它使用不同的 Facebook 应用程序(2 个不同的 AppID)在 Facebook 上发布并显示它是“通过 iPhone”/“通过 iPad”。 当 Facebook 应用程序
我有一个要求,我们必须通过将网站源文件保存在本地 iOS 应用程序中来在 iOS 应用程序 Webview 中运行网站。 Angular 需要服务器来运行应用程序,但由于我们将文件保存在本地,我们无法
所以我有一个单页客户端应用程序。 正常流程: 应用程序 -> OAuth2 服务器 -> 应用程序 我们有自己的 OAuth2 服务器,因此人们可以登录应用程序并获取与用户实体关联的 access_t
假设我有一个安装在用户设备上的 Android 应用程序 A,我的应用程序有一个 AppWidget,我们可以让其他 Android 开发人员在其中以每次安装成本为基础发布他们的应用程序推广广告。因此
Secrets of the JavaScript Ninja中有一个例子它提供了以下代码来绕过 JavaScript 的 Math.min() 函数,该函数需要一个可变长度列表。 Example:
当我分别将数组和对象传递给 function.apply() 时,我得到 NaN 的 o/p,但是当我传递对象和数组时,我得到一个数字。为什么会发生这种情况? 由于数组也被视为对象,为什么我无法使用它
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界. 这篇CFSDN的博客文章ASP转换格林威治时间函数DateDiff()应用由作者收集整理,如果你
我正在将列表传递给 map并且想要返回一个带有合并名称的 data.frame 对象。 例如: library(tidyverse) library(broom) mtcars %>% spl
我有一个非常基本的问题,但我不知道如何实现它:我有一个返回数据框,其中每个工具的返回值是按行排列的: tmp<-as.data.frame(t(data.frame(a=rnorm(250,0,1)
我正在使用我的 FB 应用创建群组并邀请用户加入我的应用群组,第一次一切正常。当我尝试创建另一个组时,出现以下错误: {"(OAuthException - #4009) (#4009) 在有更多用户
我们正在开发一款类似于“会说话的本”应用程序的 child 应用程序。它包含大量用于交互式动画的 JPEG 图像序列。 问题是动画在 iPad Air 上播放正常,但在 iPad 2 上播放缓慢或滞后
我关注 clojure 一段时间了,它的一些功能非常令人兴奋(持久数据结构、函数式方法、不可变状态)。然而,由于我仍在学习,我想了解如何在实际场景中应用,证明其好处,然后演化并应用于更复杂的问题。即,
我开发了一个仅使用挪威语的应用程序。该应用程序不使用本地化,因为它应该仅以一种语言(挪威语)显示。但是,我已在 Info.plist 文件中将“本地化 native 开发区域”设置为“no”。我还使用
读完 Anthony's response 后上a style-related parser question ,我试图说服自己编写单体解析器仍然可以相当紧凑。 所以而不是 reference ::
multicore 库中是否有类似 sapply 的东西?还是我必须 unlist(mclapply(..)) 才能实现这一点? 如果它不存在:推理是什么? 提前致谢,如果这是一个愚蠢的问题,我们深表
我喜欢在窗口中弹出结果,以便更容易查看和查找(例如,它们不会随着控制台继续滚动而丢失)。一种方法是使用 sink() 和 file.show()。例如: y <- rnorm(100); x <- r
我有一个如下所示的 spring mvc Controller @RequestMapping(value="/new", method=RequestMethod.POST) public Stri
我正在阅读 StructureMap关于依赖注入(inject),首先有两部分初始化映射,具体类类型的接口(interface),另一部分只是实例化(请求实例)。 第一部分需要配置和设置,这是在 Bo
我是一名优秀的程序员,十分优秀!