为了在移动设备上启动 oauth,我必须提供应用程序 key ,这些 key 非常敏感,不能泄露,我如何保护它们? 可以在应用程序中对其进行硬编码,或者在每次需要时使用 Web 服务调用来获取它,无论如何,它看起来都没有得到很好的保护。有什么建议吗?
最佳答案
In order to initiate oauth on the mobile, I have to provide the application keys.
你不需要,你可以使用 TWRequest (iOS 5) 或 SLRequest (iOS 6+) 执行 OAuth 请求。
如果出于某种原因,您想使用自己的消费者 key (例如为了访问直接消息),那么您可以实现 reverse auth流。
您在自己的服务器上保密您的消费者。您的服务器将请求一些 token ,这些 token 随后将从您的应用程序中检索并通过 TWRequest/SLRequest 再次发送。响应将是对用户和您的应用有效的 token ,您将能够从您的服务器访问用户的帐户。
你可以自己实现反向认证或者使用STTwitter图书馆这样做。
我不知道下面的方案是否有启发性,但它可以提供帮助。
关于ios - 移动 ios/android 上的 Facebook/Twitter oauth,如何在应用程序端保护我的 App_id 和 secret ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19376802/