Abbiamo un'app mobile che comunica con il nostro server tramite un'API HTTPS RESTful. Abbiamo anche un attaccante che finge di essere la nostra app mentre tentava di comunicare con la nostra API dei servizi web.
Supponiamo che la nostra app in the wild possa essere modificata per ottenere chiavi API, segreti condivisi, chiavi private, ecc.
La mia domanda è: OAuth2 può aiutare a autenticare l'app ? Non sto chiedendo di autenticare la persona. Non si tratta della sicurezza dell'app mobile. Dobbiamo supporre che l'app mobile possa essere compromessa.
In altre parole, sul lato server , come faccio a distinguere tra una richiesta legittima proveniente dalla nostra app e un utente malintenzionato che finge di essere l'app?
È stato suggerito che OAuth2 ti sarà di aiuto. Non penso che sia così. Non penso che OAuth2 sia rilevante per il problema che sto descrivendo.
Ho esaminato il flusso RFC 6749 Grant implicito . Per essere sicuro, non richiede un segreto client. Ma il suo scopo è quello di accedere in un posto e usare quell'autorizzazione altrove. Lo facciamo già tramite la nostra API. Non stiamo cercando un tipo di cosa OpenID Connect, basta proteggere la nostra API dagli aggressori.
Qualcuno può confermare che OAuth2 non ci aiuta, dal lato server dell'equazione? Oppure, se mi sbaglio, per favore spiegaci!