Sha*_*tha 1 security oauth spring-security oauth-2.0 spring-security-oauth2
当 Android oauth 2.0 客户端应用程序具有硬编码的客户端 ID 和客户端密钥时。反编译应用程序并检索凭据非常容易。那么将这些凭据提供给 oauth 服务器有什么用。
不建议硬编码client_id并client_secret写入本机应用程序,即在移动应用程序场景中使用所谓的“机密客户端”,正是因为client_secret无法保密。
本机应用程序通常是授权服务器的“公共客户端”,即没有client_secret. 安全性来自以下事实:注册了唯一的重定向 URI 并应用了其他 OAuth 功能,如 PKCE ( https://tools.ietf.org/html/rfc7636 )。
有关将 OAuth 2.0 用于本机应用程序的一般建议,请参阅:https : //tools.ietf.org/html/draft-ietf-oauth-native-apps,尤其是安全注意事项:https : //tools.ietf.org/ html/draft-ietf-oauth-native-apps-10#section-8
| 归档时间: |
|
| 查看次数: |
1078 次 |
| 最近记录: |