如何保护 Oauth 2.0 客户端 ID 和客户端密码

编程入门 行业动态 更新时间:2024-10-17 19:22:05
本文介绍了如何保护 Oauth 2.0 客户端 ID 和客户端密码的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧! 问题描述

当 Android oauth 2.0 客户端应用程序具有硬编码的客户端 ID 和客户端密钥时.反编译应用程序并检索凭据非常容易.那么提供这些凭证给oauth服务器有什么用.

When an Android oauth 2.0 client application has client ID and client Secret hard-coded in it. it is very easy to decompile the application and retrieve the credentials. Then What is the use of providing these credentials to oauth server.

推荐答案

不建议将 client_id 和 client_secret 硬编码到本机应用程序中,即使用什么在移动应用场景中被称为机密客户端",正是因为 client_secret 不能保密.

It is not recommended to hard-code client_id and client_secret into a native app i.e. to use what is called a "confidential client" in a mobile app scenario exactly because the client_secret cannot be kept a secret.

原生应用通常是授权服务器的公共客户端",即没有 client_secret 的应用.安全性来自以下事实:注册了唯一的重定向 URI 以及其他 OAuth 功能,例如 PKCE (tools.ietf/html/rfc7636) 被应用.

A native app would typically be a "public client" to the Authorization Server i.e. one that does not have a client_secret. Security would come from the fact that a unique redirect URI is registered and additional OAuth features like PKCE (tools.ietf/html/rfc7636) are applied.

有关为原生应用使用 OAuth 2.0 的一般建议,请参阅:tools.ietf/html/draft-ietf-oauth-native-apps,特别是安全注意事项:tools.ietf/html/draft-ietf-oauth-native-apps-10#section-8

For general recommendations on using OAuth 2.0 for native apps see: tools.ietf/html/draft-ietf-oauth-native-apps, especially the security considerations at: tools.ietf/html/draft-ietf-oauth-native-apps-10#section-8

更多推荐

如何保护 Oauth 2.0 客户端 ID 和客户端密码

本文发布于:2023-11-07 15:21:04,感谢您对本站的认可!
本文链接:https://www.elefans.com/category/jswz/34/1566805.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文标签:客户端   密码   Oauth   ID

发布评论

评论列表 (有 0 条评论)
草根站长

>www.elefans.com

编程频道|电子爱好者 - 技术资讯及电子产品介绍!