标签: web-services security oauth oauth-2.0
这是将基于HTTP的API限制为已知客户端的最佳选择吗?
我主要想知道只有某些受信任的应用程序(例如本机移动应用程序)才能访问API。
答案 0 :(得分:0)
这不是OAuth 2.0旨在解决的问题。特别是移动应用程序很难被识别为“已知客户端”,因为它们无法保密 - 它们的应用程序代码已经下载,并且可以被想要编写自己的客户端的有动力的黑客反编译。
这个问题有点重复:OAuth2 security considerations for client_id