Wir möchten eine native mobile App mit OAuth2 erstellen. Wie vor Client-ID zu schützen (diese Informationen können von jedem erhalten werden)? Jemand kann seine eigene App erstellen und als unsere App fungieren, indem er unsere clientID verwendet?Native App OAuth2-Autorisierung
Antwort
Ja, wenn jemand Ihre clientId/clientSecret abruft, kann er als Ihre App fungieren, und leider gibt es keine Möglichkeit, Anmeldeinformationen vollständig aus Ihrer Anwendung zu entfernen.
Auf einer höheren Ebene benötigt Ihre App einen Bezeichner und ein Geheimnis, um sich bei Ihrem Dienst zu authentifizieren. Wenn Sie das Geheimnis aus Ihrer App entfernen, müssen Sie es von woanders abrufen (es könnte Ihr Benutzer sein, der es tippt, dies wäre dasselbe wie eine Berechtigung für den Benutzer zu haben und ihm ein Token für weitere API-Aufrufe zu geben).
Sie können es jedoch für Reverser schwieriger machen, die Anmeldeinformationen zu erhalten, wie in this article erläutert. Um es noch schwieriger zu machen, können Sie alle Ihre API-Aufrufe in HTTPS erzwingen und SSL-Zertifikat-Pinning aktivieren, so dass Proxy-Debugging/Man In The Middle schwierig durchzuführen ist.
Am Ende sollten Sie eindeutig angeben, welche API-Aufrufe öffentlich sein sollen (nur mit dem OAuth-Token für den Zugriff auf diese Ressourcen) und welche eine Benutzerauthentifizierung erfordern sollten.
PS: Googles (Best Practices für Android-Sicherheit) [https://developer.android.com/training/best-security.html] könnte ein guter Start sein!
- 1. Native App + Web App
- 2. Responsive Design vs Native Mobile Native APP?
- 3. MobileFirst native App Sicherheitskontrolle
- 4. eine native App in
- 5. Reagieren native App Authentizität
- 6. Native App Video
- 7. Start reagieren native App
- 8. Native Moodle App - Kontoverbindung
- 9. Reagieren Native App Installationsfehler
- 10. mandantenfähige native App-Registrierung
- 11. Native In-App-Browser-App reagieren
- 12. Separate reagieren native App von reactjs App
- 13. Merge react App mit reagieren native App
- 14. Gebäude App nach erstellen reagieren-native-App
- 15. Tracking-Web-App in native iPhone App
- 16. Native in App Utils reagieren
- 17. Reagieren native App mit .setAcceptThirdPartyCookies
- 18. Automate Browser und native App
- 19. Native App öffnen. von Safari
- 20. Kann nicht reagieren-native App
- 21. Native App reagieren - Google SignIn
- 22. Xamarin UITest native iOS-App
- 23. Reagieren Native App stürzt ab
- 24. React Native - Nein app-release.apk
- 25. React-Native App mit Cocoapods
- 26. Reagieren Sie native basierte App
- 27. Xamarin Native Facebook iOS verwendet nicht die native FB App
- 28. Fehler "Native Bibliothek nicht finden" in Native Activity App
- 29. Run-native App erstellt mit react-native-CLI in expo
- 30. Komponententest Reagieren Native App, die native Module mit Jest verwendet
Vielen Dank für Ihre Antwort :) –