gpt4 book ai didi

security - 在客户端应用程序中安全地存储 OAuth2 client_id 和 client_secret

转载 作者:行者123 更新时间:2023-12-04 04:37:13 26 4
gpt4 key购买 nike

有没有什么巧妙的存储方法client_idclient_secret安全地在客户端应用程序中?

这可能是一个被反编译的 Android/iOS 应用程序。或以纯文本形式提供的 Chrome 扩展程序。

如果这些受到攻击者的攻击并冒充您的应用程序,那么依靠它的声誉来鼓励用户授权访问,对吗?

好奇这里有什么解决方案。谢谢!

最佳答案

对于移动应用,不推荐使用“授权码授予”场景,因为将 client_secret 存储在移动应用中并不安全。这就是该标准区分 secret 客户和公共(public)客户的原因(参见 2.1 部分)。
您应该改用“隐式授权”方案(为 javascript 和嵌入式应用程序创建)。它不包含client_secret,因为客户端无论如何都无法正确保护它,客户端只使用它的client_id。由于移动客户端被认为可能不安全,因此服务器不得发出刷新 token ,而只能发出短期访问 token 。

关于security - 在客户端应用程序中安全地存储 OAuth2 client_id 和 client_secret,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19555335/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com