- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
第三方应用程序有什么方法可以在逻辑上使用 Touch ID 对使用 OAuth2 的 Web 服务进行身份验证?
假设我拥有一个需要使用 OAuth2 进行身份验证的 Web 服务。它同时支持 implicit and authorization-code grants (尽管如有必要,我可以添加对其他赠款的支持)。
第三方拥有使用此网络服务的移动应用程序。它打开一个 native Web View 进行身份验证,并在其中加载我的身份验证 URL。用户在我的域中输入他们的用户名/密码,然后我将 OAuth token 返回给应用程序。
如果这个应用程序想要实现 Touch ID 来加速身份验证,有没有一种方法对 OAuth2 有意义?
我的理解是,OAuth2 隐式和授权码授权的目的是防止父应用程序访问用户的凭据。它只能访问生成的 OAuth token ,并且仅在有限的时间内有效。
使用 Touch ID,您通常会使用 Keychain Services 存储密码。 .因此,这显然需要您访问密码。
我想他们可以将 OAuth token 存储在钥匙串(keychain)中而不是密码中,但这只会在短时间内有效。
最佳答案
我还不知道任何标准流程,但这里有一些常见的注意事项。简单地存储长期凭证(密码或刷新 token ,甚至在静止时加密)将以难以审计的方式混淆安全上下文。使用任何本地身份验证(特定于应用程序的解锁 PIN、任何生物识别或简单的系统解锁)时,以服务器可以验证的方式执行此操作非常重要。因此,第一步是设备身份验证,您的应用程序的每个实例都应使用唯一的客户端 ID/客户端凭据(我建议实现 Dynamic Client Registration Protocol 来帮助解决此问题,但可能还有其他选项)。然后,最好直接在设备上生成一些可验证的 key 信息,将其放入安全存储中(受任何本地解锁机制保护,并在生物特征发生变化时失效)并使用它来生成某种 MAC,用于作为 jwt-bearer flow 一部分的 JWT 示例(或 OAuth 断言框架的一些新扩展)。 JWT token 可以包含可以为服务器提供更多上下文的附加元数据(声明),例如它可以做出明智的决定以在某些情况下强制重新身份验证。
重申:
关于oauth-2.0 - 带有 Touch ID 的 OAuth2 应用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45825704/
我对这个话题有点怀疑。 情况: 我进行了一项研究,其中指出 Sencha Touch 2 (further Sencha) 和 DHTMLX Touch (further DHTMLX) 是可供选择的
我的移动应用程序目前在 Sencha Touch 1.1.1 下运行。现在,我想将其升级到 Sencha Touch 2.0。有人可以帮我做这件事吗?升级时我应该注意哪些一般步骤? 另外,是否有帮助该
在他们的文档中找不到指定了所有日期时间格式的位置? 我想要一个日期看起来像这样 13 Jan 2013 我发现了这个模式: date("F j, Y") 但这给了我很长的月份名称。 (不知道为什么他们
我需要一个简单的嵌套 ListView 示例。沿着这条线的东西...... (来源:roosteronacid.com) 当您单击一个项目时,您将转换(滑动)到包含另一个列表的下一个 View /卡片
scons 使用 MD5 哈希值而不是文件修改时间来确定是否需要构建依赖项。 我希望这是默认行为。但是,除了编辑文件以使其不同之外,是否有任何方法可以强制它假设特定文件已过期(相当于“触摸”)? 编辑
我有一个 sencha touch 显示在列表中的联系人列表。然后,当您单击列表中的姓名时,它应该向右滑动并说您好 {联系人姓名}!但是当它现在滑过时,它只是说你好!第 29 行是项目点击的 Acti
我是一名 Ext 老手,但我需要创建一些相当简单的移动应用程序,自然而然我正在研究 sencha touch。 Ting 是 - 大多数示例无法在 Firefox/Opera 中运行。 我很高兴使用
只是想知道在 Sencha Touch 中是否有处理该问题的方法。一个商店,应用不同的过滤器后,商店可以用于不同的地方。 例如: 我有一家商店: Ext.regModel('abc', { f
如何覆盖浏览器后退按钮的功能?我在页面中有导航 View ,我想同步浏览器后退按钮和导航 View 的后退按钮。我可以覆盖导航按钮的功能,但我不知道如何为浏览器返回做同样的事情。 我们将不胜感激。 最
如何使用两个 Action 创建 UIButton。 我知道通过使用 UILongPressGestureRecognizer 我们可以执行 Longpress。 但我的要求是,当我长按 UIButt
如何在 Ext.panel 中动态添加新项目?这是我正在使用的代码; app.views.ViewItem = Ext.extend(Ext.Panel, { id: '0', doc
我有一个全屏按钮(我将其放置在 IB 中),其中包含一个图像,当用户单击它时,我希望将其滑出屏幕。我知道连接正常,因为单击按钮时我可以记录一些内容。但是我之前用来移动 UIViews 和 UIImag
As it currently stands, this question is not a good fit for our Q&A format. We expect answers to be
大家好,我目前正在为 iPhone 开发一款节奏游戏,只是想知道是否有人对用于 react 时间的最佳作品有任何想法。 我已经完成了所有编码,并将其范围缩小到大约 2 种方式: 1:使用绕过 UICo
我正在尝试使用XCode编码计算器,但是后来我看到带有逗号的数字只是在逗号后被切掉了。 我正在用文本代码获取带有此代码的数字。 -(IBAction)Additionbutton:(id)sender
Sencha Touch 中是否有控件可以显示如下图所示的密码字段? 最佳答案 不,没有本地组件可以做到这一点。但是您可以自己构建它:它是一个包含 4 个输入字段和十几个按钮的表单。有关详细信息,请参
出于某种原因,我的表单面板没有显示。谁能帮忙?如果这很明显,我是新手,很抱歉!它是用 Sencha Architect 构建的,但我不明白为什么没有字段显示在表单中?... Ext.define('M
我创建了一个基于表格的模板,因此我可以获得类似网格的感觉。我的问题是,当我单击表格行时,如何弹出警报(带有 td 信息)。 这是我的 getUserList.js 文件 Ext.regMode
他们无论如何要更改圆形矩形按钮的白色部分而不制作自定义按钮吗? 最佳答案 嗯,差不多。您必须将其设置为自定义但不继承 UIButton。那么你应该能够做类似的事情 myButton.layer.cor
有人可以给我指点 Sencha Touch 和 Javascript 的初学者教程吗?我对 HTML 和 Javascript & CSS 知之甚少。我需要学习高级 Javascript 和指南针/主
我是一名优秀的程序员,十分优秀!