个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我想知道这里是否存在安全问题?任何使用谷歌智能锁的应用程序都会知道用户的谷歌、推特等帐户凭据,对吗?看看这个谷歌教程 here在 credentialsRetrieved 回调中,Credential 对象具有应用程序可以访问的用户用户名和密码。但是现在该应用程序知道用户的谷歌或推特帐户?这是我正在谈论的代码:
private void onCredentialRetrieved(Credential credential) {
String accountType = credential.getAccountType();
if (accountType == null) {
// Sign the user in with information from the Credential.
//right here we have the users login credentials, dont we ?? There exposed.
signInWithPassword(credential.getId(), credential.getPassword());
} else if (accountType.equals(IdentityProviders.GOOGLE)) {
// The user has previously signed in with Google Sign-In. Silently
// sign in the user with the same ID.
// See https://developers.google.com/identity/sign-in/android/
GoogleSignInOptions gso =
new GoogleSignInOptions.Builder(GoogleSignInOptions.DEFAULT_SIGN_IN)
.requestEmail()
.build();
mGoogleApiClient = new GoogleApiClient.Builder(this)
.enableAutoManage(this, this)
.addApi(Auth.GOOGLE_SIGN_IN_API, gso)
.setAccountName(credential.getId())
.build();
OptionalPendingResult<GoogleSignInResult> opr =
Auth.GoogleSignInApi.silentSignIn(mGoogleApiClient);
// ...
}
}
所以我在这里看到的是 Credentials 对象可以公开用户密码。我意识到需要凭据才能继续登录过程,但这是用户在打开智能锁时做出的选择吗?
更坏的情况:假设用户启用了智能锁,而我制作了一个使用智能锁的应用程序。现在我可以访问用户的 Twitter 帐户凭据并进行恶意操作。如何保护用户?
最佳答案
我在 Google 的 Smart Lock 团队工作,希望这能回答您的问题:
对于 Google、Facebook、Twitter 或其他“联合”凭据,这些身份提供商帐户的密码未存储在凭据中。此类凭据上的密码字段为空,“凭据”仅用作指示用户为给定应用程序使用哪个身份提供者的指针。这个想法是保存和检索这样的凭据将使应用程序知道当前用户有一个现有帐户并且应该使用特定的登录方法(并且可以通过触发相应的流程自动让用户登录,或者帮助自定义UI,以便用户在返回时使用适当的方法登录)。
请注意,从当前版本的 Play Services (8.4) 开始,如果应用程序尝试构建和保存同时设置了帐户类型和密码的凭据,API 将抛出错误;第三方应用程序不应要求或存储身份提供者的密码。只有当前用户用于登录服务本身的应用的第一方密码应通过 API 存储在凭据中,并且在这种情况下不应设置帐户类型。
在问题的示例代码中,Google 类型的凭据用于以编程方式触发 Google 登录流程(请参阅 Auth.GoogleSignInApi.silentSignIn() 调用,以及完整示例here ),即自动让用户登录 Google,就好像他们点击了 Google 登录按钮一样,因为他们存储了类型为“Google”的凭据。
通常,还请注意,应用程序只能检索从应用程序本身保存的凭据(在 Android 上由包和证书签名标识)或在 Chrome 中为经过验证和关联的网站(请参阅 details)。这意味着该应用程序只能访问它代表用户存储的数据(可能在另一台设备上,其想法是 Smart Lock API 有助于跨设备检索身份验证详细信息),或者用户输入的用户名和密码关联网站并选择通过 Chrome 的密码管理器保存在 Google 中。
如果这回答了您的问题或您需要更多信息,请发表评论!
关于android - Google Smart Lock for Passwords - 联合凭据密码对应用可见吗? (例如,保存用户的 Facebook 或 Google 登录操作时),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34561814/
26
4
0
我正在通过修改我为处理 slice 而创建的库来玩转泛型。我有一个 Difference接受 slice 并返回仅在其中一个 slice 中找到的唯一元素列表的函数。 我修改了函数以使用泛型,并且我正
Typescript 编译器 在我尝试使用联合或多个类型/接口(interface)时不断抛出错误。 My requirement 我从服务器收到一个对象作为响应,其中一个键 ('errorMessa
我需要在 SQLAlchemy 中执行 2 选择。例如: select1 = Session.query(col1, col2, col3, col4).filter(...) select2 = S
我建立了一个数据库来输入我所有的头痛和偏头痛跟踪数据。我正在提取一些查询,这些查询显示某一年中按月计算的不同头痛严重程度的计数。我有一个查询按月得到所有头痛,另一个在一定严重程度下得到头痛,最后一个在
我有三个表,一个是默认值表。 我需要做的是选择 TableA 和 TableB 的值,并从默认值的选择中回填任何缺失的值。 每个表都有一个键和值列。 数据的一个例子可能是这样的: DefaultTab
我正在尝试构建一个 单个 JSONPath 查询 ,它将测试 是否存在两个或多个路径 。 让我们考虑以下示例文档: { "firstName": "John",
我正在尝试基于对象中的嵌套属性创建联合类型。请参见下面的示例: type Foo = { abilities: { canManage: boolean } } typ
我有以下查询: SELECT result.globalId AS id, result.date, p1.playerName AS player, p2.playerName AS targe
我有两张 table 。第一个每天刷新。(该表有超过 10 列,但其中 2 列是相关的)我想根据 vid (这是一个唯一的 id )和人口进行每日统计。新的视频 ID 每天都会出现和消失。例如: 第一
这个问题已经有答案了: How to know what table a result came from when using UNION in MySQL (1 个回答) 已关闭 6 年前。 让我
我有 2 个表,一个列出人员及其与其属性的关系,另一个表列出属性(名字、姓氏等)。 人员表中的每个人可能不具有属性表中列出的所有属性。我想要的是每个人都为每个属性返回一行,无论他们是否有链接。 举个例
假设我们有 MySQL 服务器 A,我们需要在其中创建位于服务器 B 上的表的“副本”。 我们没有启用联合。重置服务器 A 会造成很多麻烦,我相信,我们不能在不重置的情况下启用联合。我也认为在B服务器
我有一个 Java 类 A。A 的构造函数调用了几个方法 m1、m2。 class A{ public A(){ m1(); m2(); ......
我正在开发一种编程语言,我想为其提供一个Range 数据类型,目前它不是通常的int 对列表。值 (x,y)约束条件是 x < y .我说不像通常那样,因为通常一个范围只是一对,但在我的例子中,它超过
我正在寻找加速一段合并两个 SortedLists 的代码。 C# 4.0 通用 SortedList:http://msdn.microsoft.com/en-us/library/ms132319
如果我有以下包含函数及其参数的联合,我该如何调用它? type Wrapper = { fn: (a: string) => void arg: string } | { fn: (a:
我正在尝试移植一个内部有一个联合的 C 结构。 Winapi.Winsock2.pas 中的默认结构记录中缺少某些字段。 但这是正确的方法吗?谢谢。 typedef struct _WSACOMPLE
我希望通过“版本”编号的前 8 个字符的子字符串对以下查询的结果进行排序。我理解 SUBSTRING(),所以不要用这个来打扰我。我的问题是尝试实际放置关于 UNION 的 ORDER BY。 更新:
我需要创建一个带有联合的 QueryBuilder,这可能吗? $qb = $this->em->createQueryBuilder() ->select('table1.numObject
我正在为 Magic the Gathering Cards 创建库存系统,需要使用主要卡片信息更新价格。 我有两个表,卡片和价格 卡片有以下列:ID、姓名、Ed、价格 价格有以下列:姓名、Ed、价格
我是一名优秀的程序员,十分优秀!