【发布时间】:2016-01-23 09:29:24
【问题描述】:
我想知道将我的移动客户端身份验证到我的后端 REST API 的正确方法是什么。 我有带有 oauth2 功能的 REST API 后端。 我的网络客户端使用了 oauth2 密码授予流程。 用户在 Web 客户端登录页面上输入用户名和密码,然后客户端向后端发送 post 请求以及客户端 ID 和客户端密码。它是服务器到服务器的通信,因此我可以安全地存储客户端密码。 现在我有 android 移动应用程序。根据一些建议,将客户端密码存储在移动应用程序中是不安全的,因为它可以被拆卸。 我应该为我的移动客户端使用什么 oauth2 流程? 无法使用授权码授予和密码授予,因为我无法安全地存储客户端密码。 隐式授权流不验证应用程序的身份
【问题讨论】:
标签: api authentication mobile oauth-2.0 authorization