【发布时间】:2016-07-16 22:51:48
【问题描述】:
我正在构建 Laravel 后端来验证来自移动设备的用户。并使用https://github.com/lucadegasperi/oauth2-server-laravel
手机用户调用/oauth/callback获取Access Token
我打算使用“密码”作为授权类型。因此,在这种情况下,用户将发送以下内容: - 用户名密码 - 客户 ID + SECRET
我觉得在移动设备上存储秘密有问题。这是好习惯吗? 在对应用进行逆向工程时,可以轻松检测到秘密。
谁能解释使用 OAuth2 时的最佳实践
【问题讨论】: