REST-fulを使用してモバイルアプリケーションを開発する計画があります。 SSLを使用しないため、OAuth 2.0aではなくOAuth 1.0aを適用したいと考えています。私たちはまた、Webブラウザ(私たちはPINベースのUXは友好的でないと思います)を使用したくありません。通常のOAuthフローでは不可能であることはわかっています。ブラウザなしのOAuth、SSL /チャレンジレスポンスモデル
私はセキュリティアーキテクチャの専門家ではありませんが、私はグーグルでグーグルで、誰かがチャレンジレスポンスモデルのようなメソッドログインを使って実装しているのを見てください。
私たちのアプリがユーザー名を安全に保つ必要がなく、ユーザーが私たちのアプリケーションにパスワードを入力することを信頼している場合、この方法を使ってアクセストークンを交換できますか?欠陥がありますか?
- サーバレスポンス不正トークンの後、クライアントはチャレンジ応答フローを開始します。
クライアント必要とOAuthのようなパラメータを指定して、http://www.example.com/loginに要求を送信:oauth_consumer_key、oauth_token、oauth_signature_method、oauth_timestamp、oauth_nonceおよび追加ユーザ名パラメータ名=「ユーザ名」を、ユーザーのパスワードから計算パスワードパラメータを(どのサーバに格納されている)、oauth_nonceとKDFキー導出関数/ハッシュ関数。クライアントはリクエストの署名をOAuthの記述で計算しますが、パスワードのパラメータを省略した後に、パラメータusernameとその他の必要なパラメータでリクエストを送信します。
サーバーは要求を確認してアクセストークンを返します。私はあなたが記述しているものと信じて