Android OAuth2&;移动设备-如何保持长时间的用户会话?
移动设备是保密的客户端,这意味着它不能存储机密。在OAuth2情况下,这意味着刷新令牌和使用者机密不应存储在设备上。因此,一旦访问令牌过期,就不可能刷新它,并要求用户再次登录Android OAuth2&;移动设备-如何保持长时间的用户会话?,android,ios,mobile,oauth-2.0,token,Android,Ios,Mobile,Oauth 2.0,Token,移动设备是保密的客户端,这意味着它不能存储机密。在OAuth2情况下,这意味着刷新令牌和使用者机密不应存储在设备上。因此,一旦访问令牌过期,就不可能刷新它,并要求用户再次登录 除了生成长期访问令牌外,是否有其他方法可以持久化长用户会话?首先不是要有一个长寿命的访问令牌吗?在设备上的受保护空间中存储访问和刷新令牌是一种标准做法。在iOS上,您应该将它们存储在钥匙链中。有关如何执行此操作的更多详细信息,请参阅以下答案: 标准做法是将访问和刷新令牌存储在设备上受保护的空间中。在iOS上,您应该将它们存
除了生成长期访问令牌外,是否有其他方法可以持久化长用户会话?首先不是要有一个长寿命的访问令牌吗?在设备上的受保护空间中存储访问和刷新令牌是一种标准做法。在iOS上,您应该将它们存储在钥匙链中。有关如何执行此操作的更多详细信息,请参阅以下答案:
标准做法是将访问和刷新令牌存储在设备上受保护的空间中。在iOS上,您应该将它们存储在钥匙链中。有关如何执行此操作的更多详细信息,请参阅以下答案:
如果手机被越狱或利用,则可以读取钥匙链。请参阅,若手机被越狱或利用,则可以读取钥匙链。看,我也想找到一个答案。建议通过可以添加必要令牌的服务器端脚本代理所有调用。但是我不清楚如何在没有单独会话的情况下正确地保护该脚本,这似乎违背了OAuth的目的。我也想找到一个答案。建议通过可以添加必要令牌的服务器端脚本代理所有调用。但我不清楚如何在没有单独会话的情况下正确地保护该脚本,这似乎违背了OAuth的目的。