asp.net-web-api – ASP身份OAuth令牌 – 我应该在移动应用流程中使用ValidateClient
我有一个移动应用程序,它与后端的ASP WebAPI进行通信.
还有一个我无法理解的概念:CleintId和ClientSecret. 据我所知,客户端秘密(以及客户端ID)意味着 意思是,只有拥有秘密的客户才能启动认证流程.在我的情况下,我只有一个客户端是一个移动应用程序,它的秘密存储在一个安全的地方(KeyChain for iOs).但我已经读到,这些钥匙链可以很容易地被倾倒并解剖秘密. 所以我想出的结论是,我可以摆脱整个客户端的秘密逻辑,主要是将ValidateClientAuthentication()留空: public async override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context) { context.Validated(); return; } 而对我而言,这似乎不是一个安全漏洞,而是流动中的一层薄薄的现在消失了.因为,任何持有安装了应用程序的移动设备的恶意用户都可以轻松地揭示客户机密,并且一旦获得它,这层安全就没用了. 这些假设是不正确的? 我可以将ValidateClientAuthentication()方法留空吗? 解决方法正如您已经想到的那样,移动应用程序无法将其凭据保密,因为它们可以从应用程序二进制文件中提取.更不用说使用代理服务器和流量分析器(如Fiddler或Wireshark)可以轻松拦截请求.使用授权代码流(1)或资源所有者密码凭据授予,如果客户端无法安全地存储其凭据,则客户端身份验证不是必需的,因此不能将其视为“机密”应用程序(请参阅http://tools.ietf.org/html/rfc6749#section-4.1.3和http://tools.ietf.org/html/rfc6749#section-4.3.2). 对于非机密应用程序,可以安全地调用context.Validated(). 就个人而言,我尽可能地避免资源所有者密码凭证授予,因为它明显违背了OAuth2的目的:保密密码并提供受限制的授权.如果您的应用程序完全受信任,那么它应该不是问题. >实际上,使用授权代码流而不强制执行客户端身份验证是非常罕见的,因为使用移动客户端应用程序的隐式流更简单,在这种情况下提供类似的安全级别(更不用说它避免了第二次往返)令牌端点). (编辑:甘南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – 菜单控件生成的js导致Web窗体中的Sys
- webforms – ASP.Net Core 1.0是否支持WebForm项
- asp.net – 我可以重新发布或携带POST数据(如果是
- asp.net-mvc – 只发布控制器
- asp.net – IIS Web Garden中的Singleton对象
- asp.net-mvc – 有什么技巧/技巧使用亚音速与Asp
- 如何在ASP.NET Web应用程序中打开一个SectionGro
- ASP.NET网址MAX_PATH限制
- asp.net – 如何使用Inno Setup脚本创建IIS应用程
- asp.net-mvc-3 – CopyAllFilesToSingleFolderFo