Dove salvare le informazioni del token?

0

Attualmente sto lavorando a un'applicazione Windows 10 per l'utente finale che utilizza la piattaforma Microsoft UWP. All'interno di questa applicazione l'utente finale sarà in grado di autenticarsi utilizzando un servizio SSO oauth2.

Quindi ecco la domanda:

Where should the client application (the Windows 10 app) store the access token and the refresh tokens ?

Ho cercato varie opzioni:

  • Basta salvare il token di accesso e il token di aggiornamento nel Vault password di Windows a livello di utente (non crittografato).

  • Utilizza il provider di protezione dati per la crittografia e archivia i valori del token in un semplice file di configurazione.

Cosa vorresti fare?

L'obiettivo principale è per me mantenere le credenziali al riparo da malware che potrebbero rubare i token e assicurarsi che l'unica persona che può vedere i valori del token sia la mia applicazione e l'utente finale stesso (la persona che ha utilizzato l'SSO di servizio).

    
posta skovanden 09.10.2018 - 17:02
fonte

1 risposta

1

Il modo più semplice è utilizzare DPAPI come chiamate di funzione dirette. Chrome lo utilizza per crittografare i cookie a riposo su disco.

Tuttavia, se un utente malintenzionato è consapevole del fatto che è in uso e può eseguire codice sotto il contesto dell'utente, può chiamare le stesse funzioni per estrarre i dati. Se si tratta di malware normale, la probabilità che si verifichi è bassa.

    
risposta data 09.10.2018 - 23:02
fonte

Leggi altre domande sui tag