我正在开发一个本机应用程序,它将使用 OAuth 来允许用户登录(或访问材料本身)到另一个网站。我知道我将使用 OAuth 的隐式流程或授权代码流程,但是我所有关于安全性的研究似乎都与客户端机密有关。
我的应用程序(由第 3 方站点提供)的客户端 ID 似乎是公开的,因此会公开。这将允许其他人接受它,并遵循相同的隐式流程,伪装成我的应用程序。这只是 oauth 的性质吗?
有没有办法存储这些信息,使其不会被盗?
编辑:我想澄清一下 - 我了解 oauth 使用户的信息不受我的应用程序和理想情况下拦截器的影响。但是是什么阻止某人获取我的客户 ID(因为它通过身份验证过程公开可见)并将其用于自己?有什么措施可以通过开源应用程序来解决吗?
oauth-2.0 ×1