我们正在开发基于Web服务的平台,其中包括Web服务器(用于外部调用的GUI和api)以及适用于不同平台(Android和iOS)的移动应用程序。在我们的系统中,可以通过登录密码以及社交网络(Google和Facebook)进行登录。
事情是通过社交网络(OAuth 2.0)授权后,我们将社交帐户ID连接到我们自己的acoount(以便能够以不同的方式登录单个帐户)。由于服务器后端是安全的空间,因此在基于服务器的实现中运行良好。这就是问题开始的地方...
当我们开始在移动应用(Android)上进行授权工作时,我们发现获取社交帐户ID后调用Web服务api是不安全的。似乎拥有帐户ID的任何人都可以致电我们的服务,并尽其所能。当然,我们可以通过某种方式用嵌入在移动应用程序中的客户端机密来保护该api-但这也不安全,因为任何人都可以以一种或另一种方式查看该数据。
对于通过移动应用中的社交网络安全实施授权有何建议?