OAuth2を使用してモバイルアクセスを安全に認証するオプション

Question

現在、新しいAPIを保護し、必要な機能を安全に提供する方法が不明なOAuth2を実装中です。私たちは、モバイルデバイスから次許可する必要があります。すぐにユーザーが写真を撮ると、最初のログにせずにそれを提出することができ、アプリをダウンロードした後

を

我々はしたいものの特定の機能を使用するためにログインまたは登録する必要がない匿名ユーザーのアクセスを許可するため、APIへの認証されていないアクセスを許可したくありません。これは通常、client credentials authorization flowを使用して達成され、アプリケーションアクセストークンを取得しますが、これにはクライアントの秘密を知る必要があります。私が読んだところでは、モバイルデバイスは信頼できるクライアントとはみなされず、クライアントシークレットを含むべきではないため、独自のアプリケーションアクセストークンを生成できません。

私たちは、この要件を達成するためにいくつかのオプションを作ってみたが、それらのいくつかの入力をしたいと思います：

1. は、アプリ内のクライアント秘密を埋め込みます。セキュリティの観点からは理想的ではないようですが、セキュリティを確保するための明白な方法がないのでしょうか？私たちは少なくともiOSとAndroidをターゲットにしています。
2. アプリのアクセストークンをオフラインで生成し、アプリに埋め込みます。まだあまり安全ではありませんが、少なくとも秘密は公開されていません。
3. アクセストークンではなくクライアントIDのみを使用して、特定の機能にアクセスできるようにします。これは最も簡単かもしれませんが、矛盾が生じ、クライアントの認証方法が複数必要です。
4. コンパニオンウェブアプリを構築して使用して、モバイルアプリのアプリアクセストークンを生成します。表面は勝者のようですが、コンパニオンアプリへのアクセスを確保する必要があります。

モバイルデバイスからOAuth2を使用して初めてユーザーがログインすることなく、APIへのアクセスを安全に認証しますか？

Answer 1

Q.どちらかのコメントに同意します：

1）は、クライアントの資格情報を使用してOAuthの2タイプを許可 - あなたのアプリケーションに埋め込まれた秘密と。これは超安全ではなく、誰かがそれを最終的にリバースエンジニアリングすることを理解する。理想的には、それぞれのクライアントは一意の秘密を得るでしょう。そのため、クライアントがその使用を乱用している場合、クライアントを取り消すことができます。

2.）そのAPIが公開されているため、OAuth 2アクセストークンをまったく必要としません。おそらくそのAPIはあなたのアプリだけにしか知られていないかもしれませんが、逆にそれをリバースエンジニアリングするまでには時間がかかるでしょう。

Answer 2

私のグループも同様の議論があります。ユーザーは、サインインしなくてもアプリを入手してカタログを閲覧することができます。カタログやその他のデータにはAPIを介してアクセスし、すべての呼び出しに対してユーザーにaccess_tokenを強制します。

私たちの現在の考え方は常にaccess_tokenはのための共通のclientId /秘密を交換するアプリケーションを強制

• にあります。だから、匿名ユーザーであっても、このアプリケーションはaccess_tokenを取得します。これは、client_credentials oAuthフローを介して行われます。
• ユーザーがサインインする場合は、oAuthパスワードフローを使用します。彼らは、clientId、シークレット、ユーザー名、およびパスワードを渡します。さらに、匿名トークンを渡して、匿名セッションから履歴を転送できるようにします。ですから、例えば

...

access_token = api.oAuth.client_credentials(clientId, secret) 
catalog = api.getCatalog(access_token) 
authenticated_access_token = api.oAuth.password(clientId, secret, username, password, access_token) 

正確にあなたが "安全な" しようとしている何