0
Android oauth 2.0クライアントアプリケーションにクライアントIDとクライアントシークレットがハードコードされている場合。アプリケーションを逆コンパイルして資格情報を取得するのは非常に簡単です。 次に、これらの資格情報をoauthサーバーに提供する方法を説明します。Oauth 2.0クライアントIDとクライアントの秘密を保護する方法
A
答えて
2
client_secretは秘密にしておくことができないので、正確にモバイルアプリのシナリオでは、「機密クライアント」と呼ばれるものを使用するネイティブアプリケーション、すなわちにハードコードclient_idとclient_secretにはお勧めしません。
ネイティブ・アプリケーションは、通常、許可サーバーの「パブリック・クライアント」、つまりclient_secretを持たないものです。一意のリダイレクトURIが登録され、PKCE(https://tools.ietf.org/html/rfc7636)のような追加のOAuth機能が適用されるという事実からセキュリティが得られます。ネイティブアプリケーション用のOAuth 2.0を使用しての一般的な推奨事項については
関連する問題
- 1. 電子メールのOAuth 2.0クライアントの秘密
- 2. OAuthのGoogleクライアントIDとクライアントの秘密を取得する
- 3. OAuth2クライアントIDとクライアントの秘密のセキュリティ
- 4. oauth2でクライアントの秘密を保護する方法とその理由
- 5. IdentityServer3 - クライアントと秘密
- 6. クライアントIDと秘密のないGoogleカレンダーの同期方法
- 7. 翻訳APIのクライアントIDと秘密の秘密
- 8. Clarifaiクライアントはクライアントの秘密とIDを要求します
- 9. App ServiceのApp Settingsを使用せずにAzureクライアントIDと秘密を保護する方法
- 10. リアクションアプリにクライアントの秘密IDとトークンを保存
- 11. swift3 - 秘密鍵の保護方法
- 12. RのGoogle AnalyticsパッケージのクライアントIDと秘密を見つける方法
- 13. paypalアカウントからクライアントIDと秘密鍵を取得する方法
- 14. OAuth2ネイティブアプリ - クライアントの秘密
- 15. Googleクラウドストレージ - クライアントの秘密
- 16. 使用クライアント秘密ハッシュ値
- 17. レスキュー元のクライアント側に秘密鍵を安全に保存する方法は?
- 18. OAuth 2.0クライアントの定義
- 19. OAuthクライアント2.0のエフェクトを削除する
- 20. SAMLクライアントID保存方法
- 21. keycloakクライアントIDに秘密がありますか
- 22. laravel/lumenのクライアントIDと秘密鍵を使用してアクセスするAPI
- 23. クライアント秘密のないOAuth2のツール
- 24. SPAアプリケーションのAzure Active Directoryクライアントの秘密
- 25. Google Developer Console OAuthクライアントの秘密には「秘密」は含まれていませんか?
- 26. 復号化パスフレーズ保護PEM秘密鍵
- 27. 保護された秘密が
- 28. クライアントの秘密をPythonで安全に配備する
- 29. Thinktecture Identity Server 3:不正なアクセスからWEB APIを保護するためのクライアントの秘密
- 30. Azure KeyVaultでAzure ADアプリケーションのクライアントIDと秘密を確保するための戦略