asp.net-web-api – ASP身份OAuth令牌 – 我应该在移动应用流程中使用ValidateClient

我有一个移动应用程序,它与后端的ASP WebAPI进行通信. 我已经实现了令牌流认证(在 Taiseer’s guide的帮助下). 还有一个我无法理解的概念:CleintId和ClientSecret. 据我所知,客户端秘密(以及客户端ID)意味着 阻止访问生成令牌的API中的终点.通过这种方式,可

我有一个移动应用程序,它与后端的ASP WebAPI进行通信.

我已经实现了令牌流认证(在
Taiseer’s guide的帮助下).

还有一个我无法理解的概念:CleintId和ClientSecret.

据我所知,客户端秘密(以及客户端ID)意味着
阻止访问生成令牌的API中的终点.通过这种方式,可以保护终端免受恶意用户的攻击,并试图通过各种输入调用它来获取某些信息.

意思是,只有拥有秘密的客户才能启动认证流程.在我的情况下,我只有一个客户端是一个移动应用程序,它的秘密存储在一个安全的地方(KeyChain for iOs).但我已经读到,这些钥匙链可以很容易地被倾倒并解剖秘密.

所以我想出的结论是,我可以摆脱整个客户端的秘密逻辑,主要是将ValidateClientAuthentication()留空:

public async override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{

    context.Validated();
    return;
}

而对我而言,这似乎不是一个安全漏洞,而是流动中的一层薄薄的现在消失了.因为,任何持有安装了应用程序的移动设备的恶意用户都可以轻松地揭示客户机密,并且一旦获得它,这层安全就没用了.

这些假设是不正确的?

我可以将ValidateClientAuthentication()方法留空吗?

解决方法

正如您已经想到的那样,移动应用程序无法将其凭据保密,因为它们可以从应用程序二进制文件中提取.更不用说使用代理服务器和流量分析器(如Fiddler或Wireshark)可以轻松拦截请求.

使用授权代码流(1)或资源所有者密码凭据授予,如果客户端无法安全地存储其凭据,则客户端身份验证不是必需的,因此不能将其视为“机密”应用程序(请参阅http://tools.ietf.org/html/rfc6749#section-4.1.3和http://tools.ietf.org/html/rfc6749#section-4.3.2).

对于非机密应用程序,可以安全地调用context.Validated().

就个人而言,我尽可能地避免资源所有者密码凭证授予,因为它明显违背了OAuth2的目的:保密密码并提供受限制的授权.如果您的应用程序完全受信任,那么它应该不是问题.

>实际上,使用授权代码流而不强制执行客户端身份验证是非常罕见的,因为使用移动客户端应用程序的隐式流更简单,在这种情况下提供类似的安全级别(更不用说它避免了第二次往返)令牌端点).

作者: dawei

【声明】:永州站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

为您推荐

联系我们

联系我们

0577-28828765

在线咨询: QQ交谈

邮箱: xwei067@foxmail.com

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部