【发布时间】:2011-10-24 18:16:54
【问题描述】:
我最近阅读了question,其中介绍了一个简单、安全的 API 身份验证系统,并发现 2-legged OAuth 是一个很好的解决方案。但是假设我只是在创建自己的 iPhone 应用程序,并希望它与我自己的私有 API 交互。 2-legged OAuth 在这种情况下是否合适?走这条路有什么坏处吗?
【问题讨论】:
标签: iphone security api oauth oauth-2.0
【发布时间】:2011-10-24 18:16:54
【问题描述】:
iphone 客户端的用户是与某人登录还是只是尝试对客户端进行身份验证?
如果是前者,那么使用 oauth 并让用户登录到某个 openid 提供程序。它实际上是什么意思。
如果是后者(听起来这就是你正在做的事情),只需创建一些秘密并将其作为获取请求附加到所有内容并通过 https 进行操作。这听起来不安全,但你做的任何其他事情都会同样糟糕。您制作的任何加密/w/e 解决方案都将涉及在您的代码中添加一个秘密。如果有人抓住了这个秘密(通过反编译器),那么他们无论如何都可以伪造你使用的系统。
【讨论】: