App per dispositivi mobili Oauth

0

Devo sviluppare iOS e Android app che dovrebbero comunicare con un server throught RESTfull API . Inoltre ho bisogno di registrarmi e autorizzare l'utente attraverso i popolari social network come Facebook, Twitter, Google.

Qual è lo scenario migliore per farlo? Ad esempio: Genero access_token nella mia app mobile e poi invialo al server come example.com/auth?google?<access_token> . Qualcuno potrebbe aver rubato il mio access_token e avere accesso alle informazioni personali dell'utente o all'account dell'utente?

    
posta Near1999 16.01.2016 - 22:04
fonte

1 risposta

0

Il token di cui si sta parlando non viene generato nell'app mobile. Viene generato nei server di autenticazione di terze parti e trasferito alla tua app mobile. La tua app mobile deve restituirla ai server per convalidare l'autorizzazione delle tue app.

Per quanto riguarda la sicurezza del token, supponendo che si stia utilizzando SSL, è possibile passare il token in un parametro di query come suggerito o come intestazione del messaggio. L'intestazione Authorization è quella standard da utilizzare, ma, dato che possiedi sia l'app per dispositivi mobili sia il tuo server, puoi inserirla in qualsiasi intestazione.

La mia preferenza è di non mettere mai nulla che debba essere tenuto al sicuro in un parametro di query. Gli URL hanno la brutta abitudine di essere esposti tramite log o altri meccanismi. Quindi preferisco usare l'intestazione.

Quando comunichi con i server di terze parti come Google, dovrai utilizzare qualsiasi meccanismo di cui hanno bisogno.

    
risposta data 16.01.2016 - 23:25
fonte

Leggi altre domande sui tag