我已成功实施OAuth2以保护对我的API的访问。 我还有一个问题。
我实际上正在开发一个官方应用程序,显然我必须跳过“授权此应用程序访问我的数据”的步骤(顺便说一句,Facebook和谷歌的产品没有这一步)。
我可以使用经典的身份验证方法(就像在我使用API的网站上一样),但我认为我必须能够撤销官方应用程序(例如,在手机被盗的情况下)。 谷歌和Twitter提供了撤销官方应用程序的可能性。我想他们也在使用OAuth和他们的官方应用程序。
我的问题是: 我如何识别官方应用程序(为了按需提供访问令牌),因为我认为源代码不是很安全(黑客可以使用逆向工程)?
总而言之,我无法在应用源代码中存储密钥(不安全),但我不希望用户接受我的应用。
你有什么想法吗?
提前致谢,请原谅我可怜的英语。