1
1
最近Firebase发布了一个名为
|
2
0
你的问题是你的移动应用程序是一个“公共客户端”。这意味着它不能安全地存储任何可以向node.js API标识自己的秘密。这就是API关键方法无效的原因;攻击者可以从设备上的应用程序中提取它。 最好的办法是忘记设备的身份,使用用户的身份。让他们进行身份验证并使用 他们的 身份以确认他们是否被允许使用API。这就是OAuth/OIDC的用武之地。OAuth允许一个服务(在本例中为移动应用程序)代表用户访问另一个服务的资源(API)。OIDC是OAuth之上的一个简单的身份验证协议,允许您对用户进行身份验证。 为此,您首先需要找到OIDC提供商。如果合适的话,你可以在你的用户可能已经有身份的地方使用一个,例如谷歌或脸书,这样他们就可以用现有的帐户登录。或者,您可以使用AWS Cognito等服务设置自己的帐户,您的用户可以在其中注册新帐户。然后是您的应用程序->API调用将执行如下操作:
这些步骤被简化了;向您选择的OIDC提供商咨询如何使用PKCE实现OIDC。 最后,应用程序和API之间需要SSL,或者更准确地说现在需要TLS,否则攻击者将能够看到应用程序和API之间的数据和令牌。 |
user2252882 · 在spring单例bean中获取请求对象 6 年前 |
Paul Meyer · Axios不发送HTTP post请求 6 年前 |
â¦mega · 如何获取完整的HTTP请求(非响应)头 6 年前 |
Suraj Kumar Ghosh · 无法生成请求对象 6 年前 |
kohl · Django Rest框架中的Post请求处理 6 年前 |
Chris W · 具有并行HTTP请求的Erlang网络问题 6 年前 |