标签: api oauth
我正在构建一个供iOS应用程序使用的API。消费应用程序将被发出访问令牌。
访问令牌将用于向我们的API发出SSL请求,这些请求将来自iOS设备。
然而,使用Charles,在手机上运行客户端应用程序的任何人都可以对传出请求进行解密,并查看访问令牌是什么。
我难以理解的是,即使使用SSL,如何保持访问令牌安全?有人无法获取访问代码,将其合并到自己的应用程序中,并开始使用该访问令牌发送请求,就好像他们是原始客户端一样?
我在这里缺少什么?