OAUTH 2.0 RFPドキュメント全体を読みましたが、私は少し混乱しています。OAUTHネイティブアプリケーションでのユーザー資格情報の侵害を防ぐ方法
私はネイティブIOSアプリケーションを開発し、自分のユーザー資格情報を使用して自分のFacebookアカウントにアクセスする権限を与えたいとします。
資格情報の侵害を防ぐベストプラクティスは何ですか?
つまり、Facebookの認証ページに入力されたユーザーとパスワードを記録するシンプルなキーロガーの問題は何ですか?
何か不足していますか?
ご協力いただきますようお願い申し上げます。
Facebookの認証ページに入力されたユーザーとパスワードを記録するシンプルなキーロガーにはどのような問題がありますか?
理論的には?何もない。
何か不足していますか?
はい...グローバルな考慮事項がありません...ユーザー名/パスワードのセキュリティは、認証に使用するシステムほど強力です。これは、決定要因はここにあるクライアント/システムのあなたの信頼...
のOAuthのポイントは、サードパーティのアプリケーションにリソースへのアクセスが制限付与することである - また、SSOの認証に使用することができます。..
SSO用のiPhoneアプリでFacebookを使用するには、アプリはFacebookのアプリに転送/リダイレクトされます。 Facebookアプリケーションは認証を処理し、認証トークン(認証トークン)を使用してユーザーをアプリに戻す/リダイレクトします。ユーザーが既にFacebookにログインしていて既にアプリを承認している場合は、基本的にバックグラウンドで行われます。
認証の責任がFacebookアプリケーションに移されるという点です。システムが侵害された場合、主にあなたのアプリとFacebookのアプリの外でリークが起こるだろう...しかし、これは、システムのセキュリティと信頼性というより大きな問題を指摘している。
資格情報の侵害を防ぐベストプラクティスは何ですか?
auth_tokenは基本的にユーザー名とパスワードの組み合わせと同じであることを理解してください。 iPhoneでは、何らかの理由で情報を保存する必要がある場合(セキュリティを確保する必要がある場合)、Facebookインスタンスを利用する代わりに、保存する必要はありません。
よりグローバルな視点から? - あなたが信用しているシステムにユーザー名とパスワードを提供するだけです。