我们有一个移动应用程序,需要通过WSO2 API Manager来访问某些API。由于oauth2身份验证,我们需要存储用户名&移动应用中的密码,安全吗?例如,用户名&密码可用于登录API Store,是否有针对此情况的替代解决方案?
答案 0 :(得分:0)
您可以使用“用户访问令牌”。这是移动应用程序的推荐方法。 有关详细信息,请参阅this WSO2AM doc。以下博客文章也有一些详细的解释。
http://charithaka.blogspot.com/2013/07/oauth-20-grant-types-with-wso2-api_16.html http://lalajisureshika.blogspot.com/2012/11/generate-application-tokens-user-tokens.html
答案 1 :(得分:0)
您可以使用密码授予类型下的用户名和密码,通过点击令牌端点来获取访问令牌。之后,只需使用刷新令牌即可更新您的访问令牌,这样您就不必在移动沙箱中存储用户名和密码。更新访问令牌时,请检查documentation。必须在移动沙箱中安全地保留此访问令牌并刷新令牌。为此,您可以使用安全的沙盒方法,如密钥库,钥匙串等,基于您的移动平台,具有适当的安全性,如加密等。即使您愿意使用用户名和密码来请求后续请求您可以一次又一次地使用此方法来存储这些凭据。