asp.net-web-api – ASP身份OAuth令牌 – 我应该在移动应用流程中使用ValidateClient
我有一个移动应用程序,它与后端的ASP WebAPI进行通信.
还有一个我无法理解的概念:CleintId和ClientSecret. 据我所知,客户端秘密(以及客户端ID)意味着 意思是,只有拥有秘密的客户才能启动认证流程.在我的情况下,我只有一个客户端是一个移动应用程序,它的秘密存储在一个安全的地方(KeyChain for iOs).但我已经读到,这些钥匙链可以很容易地被倾倒并解剖秘密. 所以我想出的结论是,我可以摆脱整个客户端的秘密逻辑,主要是将ValidateClientAuthentication()留空: public async override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context) { context.Validated(); return; } 而对我而言,这似乎不是一个安全漏洞,而是流动中的一层薄薄的现在消失了.因为,任何持有安装了应用程序的移动设备的恶意用户都可以轻松地揭示客户机密,并且一旦获得它,这层安全就没用了. 这些假设是不正确的? 我可以将ValidateClientAuthentication()方法留空吗? 解决方法正如您已经想到的那样,移动应用程序无法将其凭据保密,因为它们可以从应用程序二进制文件中提取.更不用说使用代理服务器和流量分析器(如Fiddler或Wireshark)可以轻松拦截请求.使用授权代码流(1)或资源所有者密码凭据授予,如果客户端无法安全地存储其凭据,则客户端身份验证不是必需的,因此不能将其视为“机密”应用程序(请参阅http://tools.ietf.org/html/rfc6749#section-4.1.3和http://tools.ietf.org/html/rfc6749#section-4.3.2). 对于非机密应用程序,可以安全地调用context.Validated(). 就个人而言,我尽可能地避免资源所有者密码凭证授予,因为它明显违背了OAuth2的目的:保密密码并提供受限制的授权.如果您的应用程序完全受信任,那么它应该不是问题. >实际上,使用授权代码流而不强制执行客户端身份验证是非常罕见的,因为使用移动客户端应用程序的隐式流更简单,在这种情况下提供类似的安全级别(更不用说它避免了第二次往返)令牌端点). (编辑:鄂州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- [你必须知道的.NET] 开篇有益
- asp.net-mvc – 单元测试中的ViewResult.ViewName属性为空
- asp.net(C#)禁止缓存文件不让文件缓存到客户端
- ASP.NET网站攻击:如何回应?
- ASP.NET Response.Cache.SetNoStore()与Response.Cache.Set
- 在ASP.NET MVC中动态地从数据库生成CSS文件
- asp.net-mvc-3 – 应该如何看待“分离”?
- asp.net全局资源错误’找不到具有键”的资源对象’
- VS 2013 RC中缺少ASP.NET Web窗体脚手架功能
- asp.net-mvc-4 – 如何在asp.net MVC4查看页面中包含javasc
- azure – 获取#error = unsupported_response_ty
- asp.net-mvc – 如何成功配置Common.Logging?
- asp.net – 如何查看Chrome开发者工具中发布到表
- asp.net-mvc – MVC应用程序中的随机数生成
- .net中的深拷贝与浅拷贝
- asp.net 将一个图片以二进制值的形式存入Xml文件
- 实现ASP.NET多文件上传程序代码
- asp.net-mvc – ASP.NET MVC:添加将DisplayName
- 如何在ASP.NET中的GridView中定义CellPadding
- asp.net-mvc-3 – 如何在Razor中为Nullable创建编