Android手机上的OAuth安全问题？

Question

我正在编写一个将在 Android 手机上运行的客户端应用程序，它将代表用户与 OAuth 服务器进行交互。我的 Web 服务器上运行了 OAuth 服务器端代码，用于在与远程 OAuth 服务器握手时维护 OAuth 会话详细信息。现在我正在为如何最好地处理智能手机上的客户端考虑问题而争论不休。

对于这个问题，我们假设我过去曾收到远程 OAuth 服务器在用户登录并授予我的应用程序访问权限后授予我的访问令牌。我们还假设它是一个“在撤销之前有效”的访问令牌。

主要关注点当然是实施一些不会让用户面临风险的东西。最简单的方法是让我的 Web 服务器以加密形式将访问令牌返回给智能手机上的客户端代码，然后将该加密令牌简单地存储在用户的本地存储中。或者为了更严格的安全性，返回我自己的加密唯一标识符，我的智能手机上的客户端代码随每个请求传递。然后，我的 Web 服务器可以解密收到的 ID，并在本地数据库中查找最新的访问令牌。除非用户丢失手机，否则这似乎非常安全。我想我可以在浏览器上实现类似“记住我”的选项，所以如果用户不检查它，那么每个会话都会触发一个新的重新授权会话。

如果我的应用程序正在处理财务信息，那么我什至不会考虑“记住我”选项，但远程 OAuth 服务器后面的应用程序更接近 Twitter 或 Flickr 的敏感度。

我的问题是：

• 我提议的访问令牌管理和 OAuth 处理方案对于我所描述的应用程序来说是否足够健全和安全？
• 有更好的方法吗？如果是这样呢？
• 您可能对 OAuth 和手机有任何其他想法或想法？

** 更新 - 在这篇文章发布后，在相关问题列表中发现了这些非常有用的主题：

OAuth secrets in mobile apps

Can I avoid baking my Twitter API consumer secret into my iPhone app binary?

** 更新 2 - 如果您从 Sessions OAuth 存储切换到 MySQL 等数据库存储，请记住为给定的使用者密钥和用户 ID 注册服务器，否则在调用 requestRequestToken 时会出错。这个关于 ELance API 的网页有一个很好的例子（查找标题为“步骤 2：获取请求令牌”的部分并查找带有 updateServer 调用的 sn-p）：

http://www.elance.com/p/api/examples/oauth/php

您必须根据自己的远程 OAuth 服务器需求调整示例。

-- 罗施勒

Answer 1

我有一些使用 Yandex（俄罗斯排名第一的搜索引擎）OAuth 服务器的经验。他们就是这样做的..

OAurh 服务器只能通过 HTTPS 访问。因此，令牌以加密方式由网络传输。因为它是 HTTPS - 客户端可以通过证书检查来检查服务器的有效性。

此外，他们建议以加密方式存储收到的访问令牌。至于我，我有自己的存储实现，它以 3DES 加密的方式将访问令牌存储在 SharedPreferences 中。 3DES 加密的关键是用户选择的“PIN 码”。每次应用程序启动时，它都会请求一个 PIN，然后尝试解密令牌。

您可以look at my library 实现对 Yandex 服务之一的访问（使用 OAuth 授予访问权限）。