asp.net-web-api – ASP身份OAuth令牌 – 我应该在移动应用流程
我有一个移动应用程序,它与后端的ASP WebAPI进行通信.
我已经实现了令牌流认证(在 Taiseer’s guide的帮助下). 还有一个我无法理解的概念:CleintId和ClientSecret. 据我所知,客户端秘密(以及客户端ID)意味着 意思是,只有拥有秘密的客户才能启动认证流程.在我的情况下,我只有一个客户端是一个移动应用程序,它的秘密存储在一个安全的地方(KeyChain for iOs).但我已经读到,这些钥匙链可以很容易地被倾倒并解剖秘密. 所以我想出的结论是,我可以摆脱整个客户端的秘密逻辑,主要是将ValidateClientAuthentication()留空: public async override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context) { context.Validated(); return; } 而对我而言,这似乎不是一个安全漏洞,而是流动中的一层薄薄的现在消失了.因为,任何持有安装了应用程序的移动设备的恶意用户都可以轻松地揭示客户机密,并且一旦获得它,这层安全就没用了. 这些假设是不正确的? 我可以将ValidateClientAuthentication()方法留空吗? 解决方法
正如您已经想到的那样,移动应用程序无法将其凭据保密,因为它们可以从应用程序二进制文件中提取.更不用说使用代理服务器和流量分析器(如Fiddler或Wireshark)可以轻松拦截请求.
使用授权代码流(1)或资源所有者密码凭据授予,如果客户端无法安全地存储其凭据,则客户端身份验证不是必需的,因此不能将其视为“机密”应用程序(请参阅http://tools.ietf.org/html/rfc6749#section-4.1.3和http://tools.ietf.org/html/rfc6749#section-4.3.2). 对于非机密应用程序,可以安全地调用context.Validated(). 就个人而言,我尽可能地避免资源所有者密码凭证授予,因为它明显违背了OAuth2的目的:保密密码并提供受限制的授权.如果您的应用程序完全受信任,那么它应该不是问题. >实际上,使用授权代码流而不强制执行客户端身份验证是非常罕见的,因为使用移动客户端应用程序的隐式流更简单,在这种情况下提供类似的安全级别(更不用说它避免了第二次往返)令牌端点). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – 如何将trace.axd导出到文件
- asp.net – 自动将视频格式转换为Flash Video
- asp.net – 如何在MVC 3中设置图表系列颜色?
- asp.net – VB.NET 2.0:代码中的URL来自哪里?
- asp.net-mvc – 如何在mvc中使用图表控件
- asp.net-mvc – ASP.net mvc页脚的公共数据
- ASP.NET vNext Core CLR缺少type.IsPrimitive
- asp.net-mvc – ModelMetadata.Watermark和MVC View Models
- 在asp.net mvc2项目中不需要MS脚本的JQuery验证
- asp.net-mvc – Href和Url.Content有什么区别?
- asp.net-mvc-3 – ASP.NET MVC 3和App_Code文件夹
- asp.net – 设置asp:DropDownList的html’name’
- 如何在ASP.Net webform中使用标签?
- caching – MVC4 StyleBundle:你能在Debug模式下
- asp.net – 如果Elmah无法访问数据库以记录异常,
- asp.net – 通过<%on .aspx页面绑定
- 如何获取基于PhoneGap的应用程序来对ASP.NET For
- ASP.NET MVC 中枚举生成下拉框
- .net – oData v4简单来说什么是函数和动作?
- asp.net – 如何测试开发机器上的子域? abc.loc