У нас есть мобильное приложение, которое требуется для доступа к некоторым API через WSO2 API Manager. Из-за аутентификации oauth2 нам нужно хранить имя пользователя и пароль в мобильном приложении, это безопасно? например, для входа в API Store можно использовать имя пользователя и пароль. Есть ли альтернативные решения для этой ситуации?
WSO2 API Manager - как мобильное приложение подключается к API Manager?
Ответы (2)
Вы можете использовать «токен доступа пользователя». Это рекомендуемый подход для мобильных приложений. Дополнительную информацию см. В этом документе WSO2AM. В следующих сообщениях блога также есть подробное объяснение.
http://charithaka.blogspot.com/2013/07/oauth-20-grant-types-with-wso2-api_16.html http://lalajisureshika.blogspot.com/2012/11/generate-application-tokens-user-tokens.html
Вы можете использовать имя пользователя и пароль для типа предоставления пароля один раз, чтобы получить токен доступа, нажав на конечную точку токена. После этого просто используйте токен обновления, чтобы обновить токен доступа, и вам не придется хранить имя пользователя и пароль в своей мобильной песочнице. Ознакомьтесь с документацией по продлению токена доступа. Необходимо безопасно хранить этот токен доступа и обновлять токен в вашей мобильной песочнице. Для этого вы можете использовать подход с защищенной песочницей, такой как хранилище ключей, связка ключей и т. Д. На основе вашей мобильной платформы с надлежащей безопасностью, такой как их шифрование и т. Д. Даже если вы хотите использовать имя пользователя и пароль для последующих запросов на запрос токена снова и снова вы можете использовать этот подход и для хранения этих учетных данных.