App per dispositivi mobili Oauth

Question

App per dispositivi mobili Oauth

#1 da (0 voti)

0

Devo sviluppare iOS e Android app che dovrebbero comunicare con un server throught RESTfull API . Inoltre ho bisogno di registrarmi e autorizzare l'utente attraverso i popolari social network come Facebook, Twitter, Google.

Qual è lo scenario migliore per farlo? Ad esempio: Genero access_token nella mia app mobile e poi invialo al server come example.com/auth?google?<access_token> . Qualcuno potrebbe aver rubato il mio access_token e avere accesso alle informazioni personali dell'utente o all'account dell'utente?

oauth mobile android authorization web-application

posta Near1999 16.01.2016 - 22:04

fonte

1 risposta

Leggi altre domande sui tag oauth mobile android authorization web-application

Creazione del parametro iv nella crittografia AES Autorizzazione JAAS con OSGi

score 0 · Accepted Answer

Il token di cui si sta parlando non viene generato nell'app mobile. Viene generato nei server di autenticazione di terze parti e trasferito alla tua app mobile. La tua app mobile deve restituirla ai server per convalidare l'autorizzazione delle tue app.

Per quanto riguarda la sicurezza del token, supponendo che si stia utilizzando SSL, è possibile passare il token in un parametro di query come suggerito o come intestazione del messaggio. L'intestazione Authorization è quella standard da utilizzare, ma, dato che possiedi sia l'app per dispositivi mobili sia il tuo server, puoi inserirla in qualsiasi intestazione.

La mia preferenza è di non mettere mai nulla che debba essere tenuto al sicuro in un parametro di query. Gli URL hanno la brutta abitudine di essere esposti tramite log o altri meccanismi. Quindi preferisco usare l'intestazione.

Quando comunichi con i server di terze parti come Google, dovrai utilizzare qualsiasi meccanismo di cui hanno bisogno.