0
クライアント側(iPhone)のOAuthアクセストークンを取得し、アクセストークンを自分のサーバーに送ってユーザーに代わってgdataリクエストを送信したい。基本的に私の質問は、これは安全ですか?誰かが接続を盗聴してアクセストークンを取り出して悪意のあるものを使用できませんでしたか?GData、OAuth and iPhone - アクセストークンを扱う際のセキュリティの維持
Googleでは、「匿名」をコンシューマキーとして使用し、HMAC-SHA1の署名モードを使用して、「未登録」アプリケーションを認証することができます。私は次に取得したアクセストークンをサーバー側に渡してデータ操作を行います。それは素晴らしいですが、私は解決策に関するセキュリティの懸念を持っています。
ご意見ありがとうございます。
Google App Engineをサーバーとして使用しているため、安全だと思います。私はトークンを直接返すことを避けるためにWebビューを通して認証サーバ側を行うことができると思います。私は現在、httpsを使用していません... GAEがサポートしているかどうかはわかりませんが、確認します。認証サーバー側でドメインをGoogleに登録させ、コンシューマーキー+シークレットを使用させる必要があります。 –