【问题标题】:What's the right way for mobile app to authenticate google credentials?移动应用程序验证谷歌凭据的正确方法是什么?
【发布时间】:2011-09-20 16:08:02
【问题描述】:

第 3 方移动应用想要我的 Google 凭据,很糟糕。但他们有其他选择吗?

我知道 OAuth,而且我知道在网络上,应用程序/网站已经要求用户登录到他们的 facebook/google/twitter/OID 帐户并获得一个用于身份验证的令牌。

我的问题是: 1.移动应用程序可以做同样的事情(Android,WP7) 2.如果app是RSS阅读器,想成为谷歌阅读器app(因为三是WP7没有google app,所以第三者做了这样的app)。如果我不给它我的 usrname/pswd,该应用程序可以在手机上用作我的谷歌阅读器吗?

将我的 google 凭据泄露给随机的 3rd 方应用似乎有点冒险......

【问题讨论】:

    标签: security mobile oauth


    【解决方案1】:

    有一些尝试使用 OAuth。 Twitter 有 XAuth(我忘了它有多坏,它可能仍处于测试阶段)。还有 Facebook 连接。他们都坏了。

    主要有两个问题:

    • 除了 Web 浏览器之外没有可信任的 UI(而且编写一个外观相似的“假浏览器”并不难)。涉及网络浏览器很笨重,我不确定浏览器是否可以在 Android 上启动应用程序。
    • 没有责任,因为任何应用程序都可以伪装成任何其他应用程序。您嵌入应用程序的任何秘密都不会成为那个秘密。 (我个人认为这更像是一个 UI 问题。)

    我能想到一个还算不错的解决方案:拥有一个官方的 Google 帐户应用。在 Android 上,您将其作为 Activity 启动,并在完成时为您提供身份验证令牌。在 iOS 上,你会对 URL 做同样的事情。我不确定它在 WP7 或 BB 上如何工作。

    这解决了第一个问题,因为用户应该已经登录,而第二个问题是因为通常会为您提供启动您的应用程序的一些标识符。 (嗯,它解决了不将密码输入随机应用程序的用户的问题。)

    【讨论】:

    • 所以一个想要凭证的应用程序,只是为了成为我的谷歌 RSS 阅读器......使用那个应用程序似乎不聪明?即使他们不是“邪恶的”,他们仍然可以被黑客入侵,而且 gmail 帐户非常重要......
    • 用户根本不了解安全性,因此应用程序不太可能关心。有一个“Google Authenticator”应用,但我认为那是用于生成 OTP,而不是应用特定的身份验证令牌。
    猜你喜欢
    • 1970-01-01
    • 2012-11-18
    • 1970-01-01
    • 2013-06-29
    • 2016-11-24
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多