我正在构建一个Android应用程序 - 其中一个关键部分将包括与服务器API的集成。该应用程序只是一个侧面项目,我真的只是想要验证我计划的API安全性和最佳实践的建议以及其他应用程序如何做到这一点。
该应用程序将仅限移动设备(首先,没有网站) - 我希望能够从应用程序创建用户帐户,并且一旦注册,使用中央Web API访问/更新安全的用户特定内容
我开始关注的是一个基本的托管MVC Web应用程序(我是JVM / Spring背景,所以可能会使用这些库,但这里的问题是技术不可知) - 该应用程序将没有网页,只是暴露一系列终点:
这是一种合理的方法吗?当我控制客户端和服务器端时,使用OAuth是否有意义?
我认为官方推特应用只是将OAuth与其公开给其他用户的API一起使用? Instagram最初是作为移动版平台推出的,所以我认为他们必须拥有应用账户创建和平台。那么一些API安全性呢?
(我知道还有其他注意事项/要求 - 通过ssl进行通信,保护你的应用程序oauth密钥免于人们去编译应用程序然后在其他应用程序中使用密钥等,但实际上我只想要一些更高级别的输入人们在成功/问题等之前已经实施了这类系统。
答案 0 :(得分:1)
听起来不错,但任何基于令牌的会话都可行。请勿在设备上存储凭据(至少不是密码)。仅存储可以过期的令牌并安全存储。需要HTTPS并使用证书固定来防止会话劫持。