Stu*_*art 7 iphone twitter android oauth windows-phone-7
我正在开发一个使用Twitter的多平台应用程序,包括通过oAuth进行身份验证.
我看过很多现有的应用程序,其中大部分似乎都在应用程序中嵌入了id和密钥.
这样做有什么风险?只是有人可以"下载并检查"您的应用程序二进制文件以提取您的密钥 - 然后可以伪装成您的应用程序(网络钓鱼风格)?还是有其他风险?
除了风险之外,还有人们知道的解决方法或解决方案吗?
我已经看到的一个解决方案是,有些人通过他们自己的网站路由所有Twitter调用来解决这个问题 - 例如在iPhone和Android上只使用消费者密钥(不使用消费者密钥)的OAuth推特 - 但这似乎相当缓慢和昂贵 -我宁愿不通过我自己的网络服务路由所有的电话,如果我可以避免它(或者我误解了解决方案 - 它只是通过网站的auth?)
唯一真正的危险似乎是有人可以冒充您的应用程序并使其被 Twitter 禁止,然后您必须向用户提供新密钥。
这次 Google I/O 演讲对混淆代码以增加逆向工程的难度提出了一些建议。http://www.google.com/events/io/2011/sessions/evading-pirates-and-stopping-vampires-using-license-verification-library-in-app-billing-and-app-engine.html
| 归档时间: |
|
| 查看次数: |
342 次 |
| 最近记录: |