我知道之前已经问过这个问题,但我找不到任何好的答案。我正在开发OAuth解决方案,我们正在为我们自己的本机应用程序使用资源所有者流程。
客户ID和秘密就是我们用来了解其官员"请求,但是什么阻止任何人在客户端上找到客户端ID和秘密并实现相同的功能。我们如何正确保护客户端ID和秘密,因此只有我们的官方应用程序才能使用它们。
最佳做法是什么,甚至可以阻止这种做法。我假设存储在客户端上的任何东西都可以以某种方式被颠倒过来,而且有人可以假装成一个“本地人”。应用程序。
我认为Facebook正在为自己的应用程序使用资源所有者流程。他们如何保护客户身份和客户密码?他们收到的令牌可能拥有任何内容的权限,可能还有一些内部API,所以我相信他们并不希望每个人都能使用它。