我一直致力于设立服务提供商并看到,为了代表用户提出请求,似乎需要的只是消费者密钥/密钥和令牌密钥/密钥。
是什么阻止了消费者向我的服务提供商注册,让某些用户授权访问他们的某些数据,然后将访问令牌和消费者信息提供给第三方?
这是否归结为信任问题,我们必须信任我们的消费者他们不会这样做?我们有什么方法可以通过任何监控来阻止这种活动?我们希望提供OAuth解决方案,但我们不希望广泛关注恶意消费者。
感谢您的任何见解。
答案 0 :(得分:1)
Twitter的OAuth实施涉及四个令牌。
对于Web应用程序,最终用户永远不能访问令牌1& 2因为它们从未传送给客户。与Twitter API的通信是服务器到服务器。在这种情况下,风险较小。
对于桌面应用程序,“Consumer”键通常以某种方式嵌入到二进制文件中。这是Twitter实施OAuth时公认的安全问题。一个坚定的人可以反编译/破解/不混淆任何二进制文件以获得您的消费者密钥。
所以,回答你的问题:对于桌面/移动应用程序,它绝对是一个信任问题。就网络应用而言,情况就不那么好了。