个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
34
4
我们正在构建一个 iOS 原生应用和两个网络应用。对于身份/访问管理,我们使用 Keycloak(支持 OpenID Connect 和 OAuth 2.0)。
iOS 应用安装在 MDM 管理的设备上。仅安装我们的应用程序。
我了解到,目前实现身份验证/授权的最佳做法是使用 OpenId Connect 和通过外部用户代理的基于浏览器的流程:
使用这些库之一:
是否也建议 MDM 管理的 iOS 设备(没有“邪恶的”第三方应用程序,只有我们自己的东西)实现基于浏览器的流程?或者在这种情况下实现 native 登录流程(用户直接在应用中输入凭据)是否安全?
我担心用户体验...我们的应用程序和浏览器之间的切换看起来不是很流畅...
最佳答案
有一个关于 OAuth2 for native apps 的 RFC .值得一读——它讨论了可能的实现和涉及的安全风险。一般推荐的方法是在浏览器(而不是内部应用程序组件)中使用授权代码流,因为这样应用程序无法获取用户凭据。人们习惯于比其他应用更信任浏览器和身份验证提供程序,因此 URL 和经过验证的 SSL 证书的可见性也很重要。
RFC 还涵盖了 iOS implementation details :
Apps can initiate an authorization request in the browser, without theuser leaving the app, through the "SFSafariViewController" class orits successor "SFAuthenticationSession", which implement the in- appbrowser tab pattern. Safari can be used to handle requests on oldversions of iOS without in-app browser tab functionality.
因此,如果您使用 SFAuthenticationSession,则无需打开新的 Safari 窗口,用户体验也不会受到影响。
如果您使用 Resource Owner Password Credentials grant (用户直接将他们的凭据输入到您的应用程序中),出于同样的原因,您会降低它的安全性——凭据会暴露给应用程序。使用此授权,您不能在 Keycloak(Google、Facebook)中使用第三方身份验证提供程序。
这取决于您(和您的组织)您希望系统的安全程度,因此您可以选择一些妥协,但我宁愿坚持当前的最佳做法,因为应用程序可能会在以后增长,妥协可能转向问题。
关于ios - MDM 管理的 iOS 设备上推荐的身份验证流程,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48491368/
34
4
0
嗨, 我是 Spark 的新手,我正在尝试使用 ML 推荐。 我的代码 df = sqlContext.createDataFrame( [(0, 0, 4.0), (0, 1, 2.0), (1,
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
平台工程是为软件开发人员创建高效生态系统的过程,帮助他们自主执行软件开发生命周期的端到端操作。平台工程旨在减少开发人员的整体认知负荷并消除流程中的瓶颈,让开发团队的体验更佳。平台工程工具通过改善开发
最近在ubuntu系统中使用自带的firefox浏览器,发现有写问题,比如登陆后,书签,历史记录等,原本在windows下同步的数据无法同步,添加书签的功能也无法使用。 经过查询资料后得知,unb
Remax是蚂蚁开源的一个用React来开发小程序的框架,采用运行时无语法限制的方案。整体研究下来主要分为三大部分:运行时原理、模板渲染原理、编译流程;看了下现有大部分文章主要集中在Reamx的运行
实验室拟态存储的项目需要通过lvs-nat模式通过lvs服务器来区隔内外网的服务,所以安全防护的重心则落在了lvs服务器之上。笔者最终选择通过firewalld放行端口的方式来实现需求,由于fire
如今,随着我们身体各类数据的指数级增长,人们需要接受的信息量越来越大,系统必须处理的难度也是越来越高。而这些正是我们需要通过交互式图表和仪表盘,来实现数据可视化的根本原因。在大幅节省用户的时间和精力
vsftpd 是“very secure FTP daemon”的缩写,安全性是它的一个最大的特点。 vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、
1、实现memcpy 将src所指向的内容拷贝到dst所指向的位置,拷贝len个字节。 memcpy是内存拷贝函数 memcpy在使用的时候不用考虑类型,以字节为单位进行拷贝
现在有3台服务器 s1(主),s2(从), s3(从)需要实现文件实时同步,我们可以安装Nfs服务端和客户端来实现! 1、安装 NFS 服务器所需的软件包:
本文基于Free Code Camp基本算法脚本“查找字符串中最长的单词”。 在此算法中,我们要查看每个单词并计算每个单词中有多少个字母。然后,比较计数以确定哪个单词的字符最多,并返回最长单词的长
I/O简介 I/O是Input/output的缩写,在java中,对于数据的输入和输出以流的方式进行。java.io包下提供了各种“流”类和接口,用以获取不同种类的数据,并通过标准的方法输入或输出
目录 docker容器源码部署httpd,用存储卷部署网站 创建一个httpd镜像 部署nfs 挂载 创建容器并映射
python代码如下: import webbrowser as wbimport foliumif __name__ == '__main__': loc = [30.679943, 104.0
近日,微软在 Github 上开源了一个 Python 静态类型检查工具:pyright ,引起了社区内的多方关注。 微软在开源项目上的参与力度是越来越大了,不说收购 Github 这种大的战略野
在编写多线程代码时,经常面临线程安全退出的问题。 一般情况下,选择检查标志位的方式: 在线程的while循环中,执行完例程后,都对标志位进行检查,如果标志位指示继续执行则再次执行例程,如果标志
前言 在程序中我们经常可以看到有很多的加密算法,比如说MD5 sha1等,今天我们就来了解下这下加密算法的吧,在了解之前我们需要知道一个模块嘛就是hashlib,他就是目前Python一个提供字符
java 泛型(generics)是 jdk 5 中引入的一个新特性, 泛型提供了编译时类型安全检测机制,该机制允许程序员在编译时检测到非法的类型。 泛型的本质是参数化类型,也就是说所操作的数据类型
在Python中,当我们有两个字典需要合并的时候,可以使用字典的 update 方法,例如: a = {'a': 1, 'b': 2} b = {'x': 3, 'y': 4}
有的时候我们在获取到目标电脑时候如果对方电脑又python 编译环境时可以利用python 反弹shell 主要用到python os库和sokect库 这里的服务端在目标机上运行
我是一名优秀的程序员,十分优秀!