我使用Django OAuth Toolkit和Django Rest进行移动应用的OAuth身份验证。要访问任何受保护资源,客户端ID和应用程序的秘密是必需的。我应该在哪里存储客户机密。存储在APK中是不安全的,因为它可以被反编译。甚至混淆也可以进行逆向工程。然后是最好和最安全的方式来为应用程序提供客户端秘密。
答案 0 :(得分:0)
隐藏客户端ID并不是非常重要,但您不应该在应用程序的某处保存客户端密码。公开它肯定会危及您的安全。
在您的情况下,您可以设置一个使用Password Grant type(我的个人偏好)的OAuth应用,或让您的用户authenticate with your server授予他们过期访问令牌以用于将来的请求。这些是移动应用程序常见的两种不同的“OAuth流程”。
还有这个awkwardly titled slideshow,我认为它有一些有用的插图来描述OAuth在移动应用中的使用。