我正在处理的应用程序允许用户登录启用OAuth的后端 . 因此,应用程序仅对身份验证令牌和用户元数据有用,而不是用户的凭据 .
在应用程序中,用户可以点击在浏览器中打开链接的链接 . 这些资源也受OAuth保护,在登录本机应用程序期间获得的令牌也与Web相关 .
我希望用户的凭据以标准OAuth方式从本机应用程序流向Web浏览器(通过将其包含为 Authorization
标头) .
似乎Android通过其shared credentials功能促进了这一点,但我找不到iOS的等价物 . 我确实找到了shared web credentials功能,但这似乎需要了解用户的凭据 .
如何将OAuth令牌从我的原生应用程序流向它打开的Web浏览器?
4 回答
关联域和共享Web凭据在这里似乎不是一个好方法 .
您有两种选择:
将OAuth访问令牌作为URL-QueryString-Param传递给WebBrowser .
https://x.y.z/?access_token=abc
您必须操纵嵌入的URL并确保您的后端了解这一点 . 非常常见且简单的方法 . Facebook和Google等许多网站都在URL中传递访问令牌 .如果您正在使用应用程序内浏览器(UIWebView,WKWebView),您可以截取URL-Request并自行添加授权 Headers . 对于UIWebView,请参阅this,对于WKWebView,请参阅this(这比UIWebView稍微难点)
首先你应该使用HTTPS协议 - 谷歌:让我们加密(以获得免费的SSL证书)
你应该考虑的流程:
用户打开您的移动应用程序,系统会提示您输入用户名或电子邮件和密码 .
您使用用户的用户名或电子邮件和密码数据从您的移动应用程序向您的API服务发送POST请求(超过SSL!) .
您验证用户凭据,并为在一定时间后过期的用户创建访问令牌 . (google for:api rate limiting)
您将此访问令牌存储在移动设备上,将其视为API密钥,可让您访问API服务 .
一旦访问令牌过期且不再有效,您将重新提示用户输入用户名或电子邮件和密码 .
在服务器端,你应该使用诸如:fail2ban,iptables之类的东西,并确保你使用的linux版本是最新的 . (你应该不时更新/升级)
在Web应用程序(api)上,您应该验证并序列化所有数据 . 永远不要发送所需的更多数据,也绝不接受来自客户端的部分数据 . 在api应用程序上,您应该执行xss(跨站点脚本)/ csrf(跨站点请求伪造)预防 . 看看OWASP TOP 10 - https://www.owasp.org/index.php/Top_10_2013-Top_10 . 您还应该在Web api上使用安全标头 - https://www.dionach.com/blog/an-overview-of-http-security-headers .
绝不相信用户输入 .
从技术上讲,您可以在传递给浏览器的URI中包含令牌 .
但这将是不安全的:
它在规范中也是禁止的:
因此,您可以尝试使用称为“授权代码流”的替代OAuth流,而不是传递对于浏览器,令牌传递一个特殊代码,然后浏览器使用该代码从服务器获取令牌 .
但是,您的用例并不完全是为此机制创建的,因此我不确定使用它来完成您所遵循的规范 .
为什么不使用内置的apple func和库?
看看shared web credential
或使用iCloud Keychain .
希望它可能有所帮助