我想获得OAuth访问令牌客户端(iPhone)并将访问令牌发送回我的服务器以代表用户发出gdata请求。基本上我的问题是,这样安全吗?有人无法嗅探连接并拔出访问令牌并恶意使用它吗?
Google允许您使用“匿名”作为HMAC-SHA1签名模式中的使用者密钥和密码来验证“未注册”的应用程序,这正是我正在做的事情。然后我将获取的访问令牌服务器端传递给我的数据操作。它很有用,但我对解决方案有安全顾虑。
感谢您的评论!
答案 0 :(得分:0)
您的服务器安全吗?您是否使用https发出请求?是否正在注册以获得实际的消费者密钥/秘密?访问令牌仅适用于生成它的使用者密钥/密钥。如果您要注册,那将增加另一级别的安全性(因为您只知道您的消费者密钥/秘密),但我始终建议您从应用程序到服务器的通信应通过安全连接完成。 / p>