- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在使用 Bearer token 为我们的 Web API 2 RESTful API 实现授权服务器。为了提供一些上下文,我正在构建一个 MVC Web 应用程序以及一个将使用 RESTful API 的 PhoneGap 移动应用程序(将部署到 iOS 和 Android)。我已经对这个主题进行了大量研究,并且了解我想为我的 MVC 应用程序使用 授权代码 流程(因为客户端 secret 将保持安全),但是,这是我的理解我必须为 PhoneGap 应用程序使用隐式授权流程,因为它是一个纯粹的客户端应用程序,所以假定它不能保密。
话虽如此,我仍在争论我对隐式授权流程的安全影响的理解。在浏览器中执行时,我认为它有些是安全的(通过验证重定向 uri、短期 token 等)。但是,由于 PhoneGap 将在其自己的浏览器实例中执行(因此通过我需要解析的哈希片段返回 token ),这如何将 API 锁定到我的 PhoneGap 客户端?
如何阻止恶意黑客简单地窃取 client_id(嵌入在 HTML/JS 中)并构建他们自己的 PhoneGap 应用程序(或任何其他应用程序)并简单地通过隐式授权/身份验证过程,从而欺骗“已批准”或“官方”PhoneGap 应用程序?这个问题似乎不是我的 API 特有的——这是否意味着这个问题存在于所有实现隐式流的 API(包括大玩家,例如 Facebook、Twitter 等)?我怎样才能防止这种情况发生,这是否意味着我必须拒绝/不实现隐式流程?如果是这样,我如何从我的 PhoneGap 应用程序安全使用 API?
谢谢!
最佳答案
Oauth2 隐式流程通常是不安全的。正如您提到的,任何人都可以看到您的 client_id
,可以创建登录 URL 来欺骗用户,还可以窃取 access_token
。这对于使用 Oauth2 隐式流的任何服务都是可能的,包括大玩家。
垃圾邮件应用实际上在 Instagram 上这样做,他们使用其他人的 client_id
允许登录,收集 access_token
并使用它在 Instagram 上发送垃圾邮件喜欢/评论。
Oauth2授权码授权流程为possible在 Phonegap 应用程序中实现,但不推荐,因为您必须在 HTML/JS 中存储 client_secret
。与隐式授权流程相同,这在 Phonegap 中是可能的,但人们可以获取您的 client_id
并欺骗用户。
在 Phonegap 应用程序中可以使它更安全的一种方法是使用 Oauth2 授权代码授予流程,在您从重定向中获取 code
后,POST
到你的服务器有一个散列来验证,你的服务器可以使用 client_secret
对服务 API 执行实际的 Oauth2 POST
以获得 access_token
。所以在这种情况下,client_secret
不在应用程序 HTML/JS 中,而是在您的服务器上。 (这也可以被黑客欺骗,但你有更多的控制权)
关于cordova - OAuth 隐式流安全与 PhoneGap,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23745296/
我使用plugman命令在cordova中创建了一个插件 它创建了所有必需的文件。然后我在插件中添加了android平台。 然后我尝试将它添加到 cordova 应用程序中。我成功添加了它,但是当我尝
我使用plugman命令在cordova中创建了一个插件 它创建了所有必需的文件。然后我在插件中添加了android平台。 然后我尝试将它添加到 cordova 应用程序中。我成功添加了它,但是当我尝
我正在尝试在较旧的 Atrix 上安装一个应用程序,在 S3 上运行良好。搜索论坛可能的问题是SDK版本较高(Atrix是4.0.4)。修复显然是在设置 API 级别。 但是当我运行 cordova
使用 cordova build在一个为期一年的项目中提出: :processDebugResources my_project/platforms/android/build/intermediat
我有一个可以创建文件的可运行应用程序。 我正在寻找一种工作后数小时从cordova应用程序中删除文件的方法。我似乎无法使其正常工作。 这是用于创建和删除文件的代码: function crea
有什么区别吗Cordova 构建 Android 和 Cordova 准备 Android 命令? Reference is added here 最佳答案 准备将您的 www Assets 和任何插
我检查了文档,但没有找到关于此命令的明确说明。 那么,有谁知道cordova prepare命令的作用是什么? 是否更新特定于平台的www文件夹? 如果是,它将复制根www的全部内容吗? 它会更新平台
我们正在开发正在使用Cordova(专用于Ionic)的移动应用程序,并且正在使用PhoneGap PushPlugin和Amazon SNS进行推送通知。反过来,这会撞到我们与Amazon SNS进
我正在使用Vue,Webpack和Cordova。 Videos 如果我在没有Cordova的情况下加载页面,并且在Firefox浏览器中,则可以使用Youtube视频上的全屏图
因此,我尝试在我的(正在运行的)Ionic应用程序中安装一个新插件,该文件名为https://ionicframework.com/docs/native/firebase-dynamic-links
我像这样安装了cordova: C:\Windows\system32>npm install -g cordova 我明白了: C:\Users\cyril\AppData\Roaming\npm\
我有一个 cordova 应用程序,我使用以下代码捕获了后退按钮: document.addEventListener("backbutton", function (e) { bac
如何在 Cordova 中的蓝牙设备和 Android/iOS 之间发送和接收一系列数据字节? 我的项目的详细信息: 我正在开发一个蓝牙传感器设备。设备以一系列字节的形式发送数据。它还对设备 API
我是 cordova 开发的新手。我使用 Onsen UI (1.2.1) 作为布局框架。ons-toolbar 上的标题有问题。 someTextHere 如果我在 ripple 上运行
我有一个启用了平台浏览器的 Cordova 应用程序。我想在 Chrome 中使用摄像头,但调用摄像头根本没有任何反馈。它在我的 Android 设备上就像一个魅力。 我通过这个命令启动:cordov
我对thid docs https://firebase.google.com/docs/android/setup#available_libraries中提到的根级和应用程序级的路径目录感到困惑
喜欢这些插件 https://github.com/ArchieGoodwin/SilentShot https://github.com/alongubkin/phonertc 他们没有 tarba
我有一个 Angular 2 应用程序,我正在将其构建到 cordova 中并部署到 Android/IOS。我没有使用 ionic,我见过许多使用 ionic 的解决方案,但我现在无法将整个项目转换
当我发出命令时,在带有 Cordova 的 Ionic 3 中: ionic cordova run android --emulate 它给出以下消息: BUILD FAILED in 3s
我无法在 ionic 5.2.4v 中安装软件包 cordova-res 并收到以下错误。 命令:cordova-res C:\hanu\cordova-res-master\cordova-res
我是一名优秀的程序员,十分优秀!