我正在处理的应用程序允许用户登录启用OAuth的后端。因此,应用程序仅对身份验证令牌和用户元数据有用,而不是用户的凭据。
在应用程序中,用户可以点击在浏览器中打开链接的链接。这些资源也受OAuth保护,登录本机应用程序时获得的令牌也与网络相关。
我希望用户的凭据以标准OAuth方式从本机应用程序流向Web浏览器(通过将其包含为Authorization标头)。
似乎Android通过其shared credentials功能促进了此功能,但我找不到iOS的等效功能。我确实找到了shared web credentials功能,但这似乎需要了解用户的凭据。
如何将OAuth令牌从我的原生应用程序流向它打开的Web浏览器?
答案 0 :(得分:11)
关联域和共享Web凭据在这里似乎不是一个好方法。
您有两种选择:
答案 1 :(得分:3)
技术上,您可以在传递给浏览器的URI中包含令牌。
但这不安全:
注入访问令牌
另一个(也是非常危险的)威胁 客户端接受来自其他来源的访问令牌时发生 从令牌端点返回调用。这可能发生在客户端 使用隐式流(令牌直接作为传递 URL哈希中的参数)并没有正确使用OAuth状态 参数。如果不同的部分也会发生此问题 应用程序在组件之间传递访问令牌以便 他们之间“分享”访问。这是有问题的,因为它打开了一个 访问令牌的位置可能被注入应用程序 由外部方(并可能在应用程序之外泄漏)。 如果客户端应用程序未通过验证访问令牌 某种机制,它无法区分有效的令牌 和攻击令牌。
规范中也禁止这样做:
访问令牌凭据(以及任何机密访问令牌) 属性)必须在运输和存储过程中保密 在授权服务器之间共享,资源服务器访问 令牌有效,以及发出访问令牌的客户端。
相反,您可以尝试使用另一个OAuth流,称为“授权代码流”,而不是将令牌传递给浏览器,应用程序会传递一个特殊代码,然后浏览器会使用该代码从服务器
但是,你的用例并不完全是为这个机制创建的,所以我不确定用它来完成你所遵循的规范。
答案 2 :(得分:1)
首先你应该使用HTTPS协议 - 谷歌:让我们加密(以获得免费的SSL证书)
您应该考虑的流程:
用户打开您的移动应用,系统会提示您输入用户名 或电子邮件和密码。
您从移动应用向您的API服务发送POST请求 包含用户的用户名或电子邮件和密码数据(OVER SSL!)。
您验证用户凭据,并为其创建访问令牌 在一定时间后过期的用户。 (google for:api rate limiting)
您将此访问令牌存储在移动设备上,将其视为 一个API密钥,可让您访问API服务。
在服务器端,你应该使用诸如:fail2ban,iptables之类的东西,并确保你使用的linux版本是最新的。 (您应该不时更新/升级)
在Web应用程序(api)上,您应该验证并序列化所有数据。永远不要发送所需的更多数据,也绝不接受来自客户端的部分数据。在api应用程序上,您应该执行xss(跨站点脚本)/ csrf(跨站点请求伪造)预防。看看OWASP TOP 10 - https://www.owasp.org/index.php/Top_10_2013-Top_10。您还应该在Web api上使用安全标头 - https://www.dionach.com/blog/an-overview-of-http-security-headers。
永远不要相信用户输入。
答案 3 :(得分:0)
为什么不使用内置的apple func&图书馆?
要在您的应用中启用共享凭据,请将com.apple.developer.associated-domains键添加到您应用的权利中。您可以使用目标的功能窗格添加此权利(参见图1)。
或使用iCloud Keychain。
本文档重点介绍如何使用Keychain Services存储和检索密码。如果您的应用程序需要处理以下密码,请阅读此文档:
多个用户 - 例如,必须对许多用户进行身份验证的电子邮件或计划服务器
多个服务器 - 例如银行或保险应用程序,可能必须与多个安全数据库服务器交换信息
需要输入密码的用户 - 例如,网络浏览器,可以使用钥匙串存储用户为多个安全网站所需的密码
希望它可以提供帮助