我使用oath2(不使用任何facebook或google)创建了我自己的身份验证服务器,我想知道在移动设备上首先存储客户端密钥的位置。由于共享首选项可以在root用户手机上进行攻击,因此访问令牌请求需要客户端ID我遇到问题。
(请不要将此问题标记为重复,因为我在类似帖子中找不到答案)
答案 0 :(得分:3)
使用授权码流时,您需要客户端ID和密码。此流程通常用于客户端高度信任的情况,例如从服务器运行的API。在您不想存储客户端密钥的情况下,隐式流是更好的选择。
隐式流与授权代码流不同,响应从授权服务器返回。隐式流直接返回access_token。要拥有更长时间的有效会话,您可以请求刷新令牌以及访问令牌。当前访问令牌变为无效或过期时,刷新令牌可用于获取新的访问令牌。
如果您有任何其他问题,请与我们联系。
谢谢你, 索马。