我们正在为智能手机制作游戏,并希望进行社交网络认证和授权,但遇到了一个大问题:
我们通过OAuth 2.0(通过WebView的客户端流程)成功实施了VK.com或Facebook身份验证,但如果sombody使用其他钓鱼应用获得用户access_token,我们将接受此access_token,因为它将是仍然适用于社交网络和骗子将完全访问到用户个人资料,因为对应于OAuth 2.0协议,无法获得access_token创建的源(app id或其他内容)。
那么基于OAuth 2.0身份验证实现授权的最简单,最好的方法是什么,所以我们能够知道用户在我们的应用程序中获得了access_token而不是其他应用程序?
答案 0 :(得分:0)
解决方案非常简单:只使用授权代码流代替隐式流,即使小偷会将“代码”流更改为从他的钓鱼应用程序接受,Auth Sever也不会生成访问令牌,因为错误的client_id(不同于<已收到em>代码)