Android
2020.10.03 / 18:19

android - 만들기 - oauth 2.0 예제

추석돌이
추천 수 26

Oauth 2.0:클라이언트 ID와 클라이언트 비밀이 노출 되었습니까? 보안 문제입니까? (2)

나는 이것이 좋은 StackOverflow 대답이 아니지만, 위협 모델 및 보안 고려 사항 (RFC 6819)보다 더 잘 설명 할 수 없다고 생각합니다. 그래서 여기에 고객 비밀 및 그 상대적인 결과를 얻는 것에 관한 단락이 있습니다.

Android 앱은 공개 클라이언트 (더 구체적 인 기본 애플리케이션)이므로 사용자의 자격증 명을 기밀로 유지할 수 없지만 토큰 및 인증 코드를 여전히 보호 할 수 있습니다.

또한 귀하의 경우에 흥미로운 점은 smartphones 대한 예입니다.

나는 RFC가 가장 재미있는 독서가 아니라는 것을 알고있다. 그러나 그것들은 꽤 분명하다.

Android oauth 2.0 클라이언트 응용 프로그램에 자격 증명 (클라이언트 ID 및 클라이언트 비밀 번호)이 하드 코딩되면 응용 프로그램을 디 컴파일하여 자격 증명을 검색하는 것이 매우 쉽습니다.
고객 ID와 비밀 번호 를 공개 할 때의 결과는 무엇입니까?


단지 발언 : 클라이언트 ID는 설계 상 비밀이 아니기 때문에 실제로이를 보호 할 필요가 없습니다.

RFC 6749의 2.2 절 ( "The OAuth 2.0 Authorization Framework")을 참조하십시오.

클라이언트 식별자는 비밀이 아닙니다. 자원 소유자에게 공개되며 클라이언트 인증을 위해 단독으로 사용해서는 안됩니다.