我正在构建一个使用Twitter API的(业余)应用程序,它支持通过OAuth协议进行身份验证。
OAuth登录过程的一部分涉及为每个应用程序分配一个消费者密钥和消费者密钥(两个字符串),用于生成与Twitter服务器通信的签名。
Twitter开发指南明确指出,应该“保持”消费者秘密“是一个秘密。在您的应用程序中,此键永远不应该是人类可读的。'这显然很重要,就像恶意个人获取您的凭据一样,他们可以冒充您的应用。
但是,我不知道如何实现这一目标。为了使应用程序能够使用该字符串,应用程序必须以某种方式访问它(直接编码到应用程序中,存储在捆绑的数据库中,或通过链接的Web服务访问) - 如果应用程序可以访问它,它必须是用户可以访问的。它可以通过分裂,字符移位等进行混淆,但不能(尽我所见)以任何无法撤消的方式进行混淆。
This所以回答证实了我怀疑这是一个问题 - 我想知道自从09年12月发布以来是否有任何进展?
答案 0 :(得分:1)
移动设备的问题在于用户手中。并且有足够的时间/精力,用户可以从设备中提取任何数据。它不是OAuth安全问题,它是一个总体安全问题,实际上没有答案。