我们有一个移动应用程序,需要通过WSO2 API Manager来访问某些API . 由于oauth2身份验证,我们需要在移动应用中存储用户名和密码,这样安全吗?例如,用户名和密码可用于登录API Store,是否有针对此情况的替代解决方案?
你可以使用'User Access Token' . 这是移动应用程序的推荐方法 . 有关详细信息,请参阅this WSO2AM doc . 以下博客文章也有一些详细的解释 .
http://charithaka.blogspot.com/2013/07/oauth-20-grant-types-with-wso2-api_16.html http://lalajisureshika.blogspot.com/2012/11/generate-application-tokens-user-tokens.html
您可以使用密码授权类型下的用户名和密码一次通过命中令牌 endpoints 来获取访问令牌 . 之后,只需使用刷新令牌即可更新您的访问令牌,这样您就不必在移动沙箱中存储用户名和密码 . 更新访问令牌时检查documentation . 必须在移动沙箱中安全地保留此访问令牌并刷新令牌 . 为此,您可以使用安全的沙盒方法,如密钥库,钥匙串等,基于您的移动平台,具有适当的安全性,如加密等 . 即使您愿意使用用户名和密码来请求后续请求您可以一次又一次地使用此方法来存储这些凭据 .
2 回答
你可以使用'User Access Token' . 这是移动应用程序的推荐方法 . 有关详细信息,请参阅this WSO2AM doc . 以下博客文章也有一些详细的解释 .
http://charithaka.blogspot.com/2013/07/oauth-20-grant-types-with-wso2-api_16.html http://lalajisureshika.blogspot.com/2012/11/generate-application-tokens-user-tokens.html
您可以使用密码授权类型下的用户名和密码一次通过命中令牌 endpoints 来获取访问令牌 . 之后,只需使用刷新令牌即可更新您的访问令牌,这样您就不必在移动沙箱中存储用户名和密码 . 更新访问令牌时检查documentation . 必须在移动沙箱中安全地保留此访问令牌并刷新令牌 . 为此,您可以使用安全的沙盒方法,如密钥库,钥匙串等,基于您的移动平台,具有适当的安全性,如加密等 . 即使您愿意使用用户名和密码来请求后续请求您可以一次又一次地使用此方法来存储这些凭据 .