gpt4 book ai didi

cordova - OAuth 隐式流安全与 PhoneGap

转载 作者:行者123 更新时间:2023-12-04 05:59:36 28 4
gpt4 key购买 nike

我正在使用 Bearer token 为我们的 Web API 2 RESTful API 实现授权服务器。为了提供一些上下文,我正在构建一个 MVC Web 应用程序以及一个将使用 RESTful API 的 PhoneGap 移动应用程序(将部署到 iOS 和 Android)。我已经对这个主题进行了大量研究,并且了解我想为我的 MVC 应用程序使用 授权代码 流程(因为客户端 secret 将保持安全),但是,这是我的理解我必须为 PhoneGap 应用程序使用隐式授权流程,因为它是一个纯粹的客户端应用程序,所以假定它不能保密。

话虽如此,我仍在争论我对隐式授权流程的安全影响的理解。在浏览器中执行时,我认为它有些是安全的(通过验证重定向 uri、短期 token 等)。但是,由于 PhoneGap 将在其自己的浏览器实例中执行(因此通过我需要解析的哈希片段返回 token ),这如何将 API 锁定到我的 PhoneGap 客户端?

如何阻止恶意黑客简单地窃取 client_id(嵌入在 HTML/JS 中)并构建他们自己的 PhoneGap 应用程序(或任何其他应用程序)并简单地通过隐式授权/身份验证过程,从而欺骗“已批准”或“官方”PhoneGap 应用程序?这个问题似乎不是我的 API 特有的——这是否意味着这个问题存在于所有实现隐式流的 API(包括大玩家,例如 Facebook、Twitter 等)?我怎样才能防止这种情况发生,这是否意味着我必须拒绝/不实现隐式流程?如果是这样,我如何从我的 PhoneGap 应用程序安全使用 API?

谢谢!

最佳答案

Oauth2 隐式流程通常是不安全的。正如您提到的,任何人都可以看到您的 client_id,可以创建登录 URL 来欺骗用户,还可以窃取 access_token。这对于使用 Oauth2 隐式流的任何服务都是可能的,包括大玩家。

垃圾邮件应用实际上在 Instagram 上这样做,他们使用其他人的 client_id 允许登录,收集 access_token 并使用它在 Instagram 上发送垃圾邮件喜欢/评论。

Oauth2授权码授权流程为possible在 Phonegap 应用程序中实现,但不推荐,因为您必须在 HTML/JS 中存储 client_secret。与隐式授权流程相同,这在 Phonegap 中是可能的,但人们可以获取您的 client_id 并欺骗用户。

在 Phonegap 应用程序中可以使它更安全的一种方法是使用 Oauth2 授权代码授予流程,在您从重定向中获取 code 后,POST 到你的服务器有一个散列来验证,你的服务器可以使用 client_secret 对服务 API 执行实际的 Oauth2 POST 以获得 access_token。所以在这种情况下,client_secret 不在应用程序 HTML/JS 中,而是在您的服务器上。 (这也可以被黑客欺骗,但你有更多的控制权)

关于cordova - OAuth 隐式流安全与 PhoneGap,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23745296/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com