拥有可通过OAuth对用户进行身份验证的cordova应用程序,我们如何确保提供的访问令牌和刷新令牌仅在请求令牌的设备中使用,甚至更好地在请求令牌的设备和应用程序中使用? >
当前,应用程序将在我创建的端点中调用api以生成令牌请求,流程如下:
所以我的主要问题是在第五步 如何唯一标识x设备或x设备和应用?
我不包括通过标头发送信息,因为如果有人可以访问电话并获得令牌的保留权,那么他们很可能也可以获得设备ID和应用程序ID的所有权。因此,我们的想法是,如果数据是通过请求的标头发送的,那么某种原因是使用其他任何设备都无法伪造的,这可能吗?
任何选项还是我目前拥有的足够安全性?