android - 是什么阻止了其他应用窃取我的 Google OAuth 客户端 ID？

Question

我创建了一个使用 AppAuth 通过 Google OAuth 进行身份验证的 Android 应用程序。在 Google Cloud Platform Console 中，我为我的应用创建了一个 Android OAuth 2.0 客户端 ID，并提供了应用包名称和签名证书指纹。一切正常。

我想验证只有我的应用程序可以使用该客户端 ID。所以我用不同的包名创建了第二个应用程序，并用不同的签名证书对其进行了签名。使用相同的客户端 ID，我仍然能够通过 Google 进行身份验证并访问 API。我不认为应该是这样。我正在查看 AppAuth 的源代码，它看起来不像在身份验证流程中使用过应用程序签名或包名称。它当然使用 PKCE，但我预计会发生更多。

因此，如果我可以毫不费力地窃取我自己的客户端 ID，那么如何阻止其他人从我的 APK 中提取我的客户端 ID 并将其用于身份验证？我用于重定向 URI 的自定义方案很容易根据我的包名称找出。因此，rouge 应用程序可以配置 AppAuth 以使用类似的重定向 URI 并捕获授权结果。而且由于 PKCE 仅用于验证授权请求和代码交换是否来自同一个地方，因此 rouge 应用程序会同时执行这两种操作，因此那里也没有真正的保护。

我可以将客户端 ID 类型切换为 Web 或其他，但这需要我使用客户端密码，如果将其嵌入应用程序中，这同样不安全。

我是否遗漏了什么，或者 Google OAuth 是否完全按照预期工作？

Answer 1

对于客户端 Google OAuth 2，您的客户端 ID 并不重要。客户端执行 OAuth 流程并且客户端接收 OAuth token 。神奇的是客户必须授权谷歌。任何人都可以窃取您的客户 ID，但他们无能为力。作为 OAuth 生命周期的一部分，您应该验证 OAuth token 。你的后端不应该盲目地接受来自客户的任何东西——或者任何不受你绝对控制的地方。

您的客户 ID 不是 secret ，您可以在代码中明确说明。

必须保密的是客户 secret 。 Client Secret 不参与客户端身份验证。客户端密码用于您的后端服务器。

我认为你混淆了这个过程。当客户端应用程序(您的应用程序、网络浏览器等)通过 Google 帐户进行身份验证时，您的应用程序未获得授权。客户端正在被授权。客户应该对他们访问的网站(或应用程序)做出良好的判断，并使用他们的谷歌登录名。客户可以使用他们的 token 做的唯一事情就是访问他们自己的数据(Google Drive、Gmail 等)。如果您的后端服务器接受客户端的 OAuth token 来管理访问，那么您有责任验证该 token 及其在您的系统上的预期用途以及该 token 的授权来源。

更好的选择是在后端(例如您的 Web 服务器)上执行身份验证和授权。然后，您可以实现 Google OAuth 重定向以将 OAuth token 发送到您的服务器。您受到保护，因为只有授权的来源(例如您的域名)和授权的重定向 URI(您的 Web 服务器上的端点)可以参与身份验证过程。然后，您将 token 存储在您的客户端 session 中，必要时更新，根据需要添加授权范围等。

我经常使用这两种方法(客户端、服务器端)并且都运行良好。