在坚果壳中,我有一个iOS应用程序,它将充当管理用户数据的GUI。数据是其用户专有的,因此需要一些安全的授权方法。
我会利用HTTPS
来保密一切,但我希望尽量减少username:password
在会话中的使用。
从研究中我得到了本教程,它可以很好地完成所有工作:http://lukeredpath.co.uk/blog/2010/06/01/oauth2-for-iphone-and-ipad-applications/
我的不确定性来自我们需要的启动," 1.Your client's unique ID, redirect URI and secret token
"。
教程指出:"If possible, you should try and obtain the end-user and token URIs at runtime rather than hardcoding them into your application. This can be typically done by making an unauthorised request to a secure URI and obtaining them from the WWW-Authenticate header in the returned 401 response"
我理解该陈述的第一部分,但下半部分解释的方法不是我所期望的,有点似乎不安全吗?
在我脑海中,我想到了更接近于散布username:password
组合的东西,在应用程序登录阶段将其发送到服务器获取返回的密钥的确认(导致仅username:password
送了一次电线)
获取重定向URI和秘密令牌的最佳方法是什么?