Ich habe OAuth schon mehrfach für Webanwendungen verwendet.OAuth mit Desktop-Anwendungen
Ich bin jedoch jetzt in Desktop-Anwendungen und Sicherheitsfragen beteiligt. Offensichtlich müssen öffentliche und private Schlüssel irgendwo gespeichert werden. Wie kann ich das potentielle Problem lösen, dass jemand die Desktop-Anwendung, die ich erstelle, entnimmt und die Schlüssel davon stiehlt?
Prost, Thomas.
Sie können nicht. Solange Sie die Authentifizierung ohne einen Server planen, können der Computer und die privaten Schlüssel kompromittiert werden.
Sie können Ihre Sicherheitsanfälligkeit verringern, indem Sie Ihre Schlüssel bis zu dem Moment verschlüsseln, zu dem Sie sie benötigen, aber zu einem bestimmten Zeitpunkt ist Ihr Schlüssel im Speicher und kann von einem erfahrenen und zielgerichteten Computerdieb eingesehen werden.
Ich denke, ich kam mit einer Art von Lösung. können Sie einen Server für Ihre Desktopanwendung erstellen, der mit dem OAuth-Provider genauso wie mit einer Webanwendung interagiert.
dann erstellen Sie für jeden Benutzer einen zusätzlichen Benutzernamen und ein Passwort für Ihren Webserver.
so der Benutzer muss sich in Ihre Desktop-Anwendung anmelden (hier ist eine Desktop-Server-Interaktion, um den Benutzer zu validieren) dann Benutzer aktivieren, um eine Verbindung zu Ihrem Server und machen die schwere Arbeit.
+1. mehr dazu: http://arstechnica.com/security/guides/2010/09/twitter-a-case-study-on-ho-to-doo-oauth-wrong.ars – Cheeso