我正在开发一款既有网络应用又有移动应用的社交应用。在Web应用程序中,整个Oauth实现在我的脑海中非常清晰,但当我试图思考如何在移动应用程序上处理事情时,事情变得“复杂”。
一旦用户在移动应用程序上注册,他就应该使用密码授予类型接收访问令牌。我需要 grant_type , client_id , client_secret ,用户名和密码,但我应该在哪里存储并保留 client_id 和 client_secret ?它们应该保留在服务器端还是“安全”将它们放在移动应用程序上?在这种情况下,最好将它们存储在钥匙串?
中