Security 什么';移动应用程序验证google凭据的正确方法是什么?
第三方移动应用想要我的谷歌认证,糟糕。但他们还有其他选择吗 我知道OAuth,我知道在web上,应用程序/网站已经要求用户登录到他们的facebook/google/twitter/OID帐户,只需获得一个令牌即可进行身份验证 我的问题是: 1.移动应用程序也能做到这一点吗(特别是Android、WP7) 2.如果该应用程序是一个RSS阅读器,希望成为Google reader应用程序(因为three不是WP7的Google应用程序,第三方制作了这样的应用程序)。如果我不给它usrname/pswd,这个应用程序能在手机上充当我的谷歌阅读器吗Security 什么';移动应用程序验证google凭据的正确方法是什么?,security,mobile,oauth,Security,Mobile,Oauth,第三方移动应用想要我的谷歌认证,糟糕。但他们还有其他选择吗 我知道OAuth,我知道在web上,应用程序/网站已经要求用户登录到他们的facebook/google/twitter/OID帐户,只需获得一个令牌即可进行身份验证 我的问题是: 1.移动应用程序也能做到这一点吗(特别是Android、WP7) 2.如果该应用程序是一个RSS阅读器,希望成为Google reader应用程序(因为three不是WP7的Google应用程序,第三方制作了这样的应用程序)。如果我不给它usrname/ps
把我的谷歌认证给一个随机的第三方应用似乎有点冒险…有人试图使用OAuth。Twitter有XAuth(我忘了它有多坏了,它可能还在测试阶段)。还有Facebook Connect。它们都坏了 主要有两个问题:
- 除了web浏览器之外,没有值得信任的UI(编写类似外观的“假浏览器”并不难)。涉及网络浏览器是笨重的,我不确定浏览器能否在Android上启动应用程序
- 没有责任,因为任何应用程序都可以假装是任何其他应用程序。你在应用程序中嵌入的任何秘密都不会是那个秘密。(我个人认为这更像是一个UI问题。)
这解决了第一个问题,因为用户应该已经登录,第二个问题,因为通常会向您提供启动您的应用程序的某些标识符。(好吧,它解决了那些不在随机应用程序中输入密码的用户的问题。)因此,一个想要凭证的应用程序,只是作为我的谷歌RSS阅读器。。。使用该应用程序看起来不明智吗?即使他们不是“邪恶的”,他们仍然可以被黑客攻击,gmail帐户也非常重要……用户根本不了解安全性,所以应用程序不太可能关心。有一个“Google Authenticator”应用程序,但我认为这是用于OTP生成的,而不是特定于应用程序的身份验证令牌。