移动客户端对API的身份验证

时间:2015-10-23 18:34:25

标签: api authentication mobile oauth-2.0 authorization

我想知道将我的移动客户端验证到我的后端REST API的正确方法是什么。 我有带有oauth2功能的REST API后端。 有我的Web客户端使用oauth2密码授予流程。 用户在Web客户端登录页面输入用户名和密码,然后客户端将post请求与客户端ID和客户端密钥一起发送到后端。它是服务器到服务器的通信,所以我可以安全地存储客户端密 现在我有Android移动应用程序。根据一些建议,将客户端密钥存储在移动应用程序中是不安全的,因为它可以被分解。 我应该为我的移动客户端使用什么oauth2流程? 无法使用授权代码授予和密码授予,因为我无法安全地存储客户端密钥。 隐式授权流程不会验证应用程序的身份

1 个答案:

答案 0 :(得分:0)

OAuth2 recommends移动应用程序要么使用隐式授权,要么使用代码授权授权。使用代码授权授权时,您应该通过发送客户端ID和密码来验证客户端(因为您无法在移动客户端中安全地保密)。

隐式授权不会返回刷新令牌。