Condivisione di un token di accesso da un fornitore esterno tra le app

1

Ho un'app Web in esecuzione che utilizza un provider OAuth esterno (Reddit) per accedere con. Voglio integrare questa app con l'app mobile di qualcun altro e voglio renderla il più semplice possibile per sviluppatori e utenti. Non desidero visualizzare più finestre di conferma OAuth e memorizzare più token se non è necessario.

La mia domanda è: quali sono i problemi di sicurezza legati al riutilizzo di un token di accesso per più app? L'app mobile può semplicemente passare un token di accesso Reddit attualmente valido alla mia app Web e io lo utilizzo invece di recuperare il mio token di accesso e accesso da Reddit? Questo creerebbe problemi di sicurezza dal momento che il token viene tecnicamente riutilizzato anche se è della stessa "famiglia di app"?

Il token verrebbe passato in un'intestazione all'app Web / API e l'app Web e l'app mobile condivideranno quindi la stessa app secret.

Il mio istinto dice che probabilmente non è una grande idea e / o contro la maggior parte dei ToS. Ma questa sarebbe una soluzione molto più semplice rispetto a dover gestire un altro token nell'app mobile solo per poter parlare con la mia app Web.

    
posta Matti Price 18.01.2017 - 21:42
fonte

0 risposte

Leggi altre domande sui tag