У нас есть мобильное приложение, которое требуется для доступа к некоторым API через WSO2 API Manager. Из-за аутентификации oauth2 нам нужно хранить имя пользователя и пароль в мобильном приложении, это безопасно? например, для входа в API Store можно использовать имя пользователя и пароль. Есть ли альтернативные решения для этой ситуации?
WSO2 API Manager - как мобильное приложение подключается к API Manager?
Ответы (2)
Вы можете использовать «токен доступа пользователя». Это рекомендуемый подход для мобильных приложений. Дополнительную информацию см. В этом документе WSO2AM. В следующих сообщениях блога также есть подробное объяснение.
http://charithaka.blogspot.com/2013/07/oauth-20-grant-types-with-wso2-api_16.html http://lalajisureshika.blogspot.com/2012/11/generate-application-tokens-user-tokens.html
person
Nufail
schedule
27.08.2013
Спасибо за ваш ответ. Да, я могу использовать токен доступа для доступа к API, но нам все еще нужны имя пользователя, пароль, идентификатор пользователя и секрет, чтобы сначала получить токен доступа, я прав?
- person user2676576; 27.08.2013
Имя пользователя и пароль не требуются для повторного создания токена доступа, только ключи потребителя и секретные ключи. Потребительские и секретные ключи никогда не меняются после создания приложения в API Manager, поэтому ваше мобильное приложение может хранить и использовать эти значения неограниченное время для восстановления вашего токена доступа. Если бы кто-то получил доступ к этим значениям, худшее, что они могли бы сделать, - это регенерировать токен доступа, который ваше приложение должно уметь обрабатывать (поскольку оно, по-видимому, само восстанавливает устаревшие токены доступа).
- person Kjata30; 16.05.2016
Вы можете использовать имя пользователя и пароль для типа предоставления пароля один раз, чтобы получить токен доступа, нажав на конечную точку токена. После этого просто используйте токен обновления, чтобы обновить токен доступа, и вам не придется хранить имя пользователя и пароль в своей мобильной песочнице. Ознакомьтесь с документацией по продлению токена доступа. Необходимо безопасно хранить этот токен доступа и обновлять токен в вашей мобильной песочнице. Для этого вы можете использовать подход с защищенной песочницей, такой как хранилище ключей, связка ключей и т. Д. На основе вашей мобильной платформы с надлежащей безопасностью, такой как их шифрование и т. Д. Даже если вы хотите использовать имя пользователя и пароль для последующих запросов на запрос токена снова и снова вы можете использовать этот подход и для хранения этих учетных данных.
person
Dilshan
schedule
18.09.2014
