GData、OAuth和iPhone-在处理访问令牌时维护安全
我希望获得OAuth访问令牌客户端(iPhone),并将访问令牌发送回我的服务器,以代表用户发出gdata请求。基本上我的问题是,这安全吗?难道没有人能嗅出连接并拔出访问令牌并恶意使用它吗 Google允许你在HMAC-SHA1签名模式下使用“匿名”作为用户密钥和密码来验证“未注册”的应用程序,这就是我正在做的。然后,我将获取的访问令牌传递到服务器端以执行数据操作。这很好,但我对解决方案有安全顾虑GData、OAuth和iPhone-在处理访问令牌时维护安全,iphone,oauth,gdata,Iphone,Oauth,Gdata,我希望获得OAuth访问令牌客户端(iPhone),并将访问令牌发送回我的服务器,以代表用户发出gdata请求。基本上我的问题是,这安全吗?难道没有人能嗅出连接并拔出访问令牌并恶意使用它吗 Google允许你在HMAC-SHA1签名模式下使用“匿名”作为用户密钥和密码来验证“未注册”的应用程序,这就是我正在做的。然后,我将获取的访问令牌传递到服务器端以执行数据操作。这很好,但我对解决方案有安全顾虑 谢谢你的评论 您的服务器安全吗?您是否使用https发出请求?另外,注册以获取实际的消费者密钥/机
谢谢你的评论 您的服务器安全吗?您是否使用https发出请求?另外,注册以获取实际的消费者密钥/机密是否不可能?访问令牌仅适用于生成它的使用者密钥/机密。如果您要注册,这将增加另一个安全级别(即您的用户密钥/密码只有您自己知道),但我始终建议您的应用程序与服务器之间的通信应通过安全连接完成。我使用Google app Engine作为服务器,因此我相信它是安全的。我想我可以通过web视图在服务器端进行身份验证,以避免直接将令牌传递回去。我现在没有使用https。。。甚至不确定GAE是否支持它,但我会检查。我认为,在服务器端进行身份验证还应该让我向谷歌注册域名,并让我使用消费者密钥+密码。