在移动应用程序中询问相对n00b,因为我主要是后端开发人员。
我们正在构建一个移动应用程序,并且有一个业务要求,用户的设备可以被唯一标识并在后端注册(即用户可以安装应用程序,但访问他们需要的服务,以便使用我们的后端服务注册该设备,并且可同时注册的X设备限制。)
前端团队目前已经创建了一个从移动设备中提取唯一设备ID的功能,但安全团队也告诉我们设备ID被认为是敏感信息,我们不应该通过网络传输这些信息。
除了可以将加密应用于设备ID之外,我一直在考虑设备ID的替代方案。我们使用OAuth进行身份验证,并在有效注册结束时生成OAuth访问和刷新令牌。由于刷新令牌应该是长期存储的并且安全地(假设)存储在客户端,因此刷新令牌可以用作设备ID的替代吗?这个策略会有任何已知的漏洞吗?根据文档,刷新令牌应该是“长期存在的”,但确切的长期存在多久?
答案 0 :(得分:0)
您应该使用SHA256来散列设备ID。 OAuth令牌在某些时候是易变的,甚至刷新令牌。
答案 1 :(得分:0)
您可以配置Oauth2令牌的生命周期,但这会破坏Oauth2的目的。如果设备遭到入侵,您打算怎么办呢。您必须使令牌无效。
使用设备ID是可行的方法,如果它是普遍唯一的,或者您确定不会发生冲突。
我建议您使用设备ID并保留Oauth2的默认行为。