构建API,确保客户端访问令牌安全

时间:2015-08-31 02:45:20

标签: api oauth

我正在构建一个供iOS应用程序使用的API。消费应用程序将被发出访问令牌。

访问令牌将用于向我们的API发出SSL请求,这些请求将来自iOS设备。

然而,使用Charles,在手机上运行客户端应用程序的任何人都可以对传出请求进行解密,并查看访问令牌是什么。

我难以理解的是,即使使用SSL,如何保持访问令牌安全?有人无法获取访问代码,将其合并到自己的应用程序中,并开始使用该访问令牌发送请求,就好像他们是原始客户端一样?

我在这里缺少什么?

0 个答案:

没有答案