我有一个REST服务,我的移动应用程序用来在用户点击Facebook或Google图标时进行身份验证。
该服务接受来自提供者的用户ID,并检查它是否存在于数据库中,然后发出access_token以用于其他方法。
问题在于我只是认为某人拦截调用并发现哪些服务进行身份验证以及用户ID是什么然后调用它来获取令牌可能非常容易。
我该如何避免这种情况?
答案 0 :(得分:0)
我认为您只需要将身份验证和授权功能分开。您可以让Google(Google Sign-In)处理身份验证。如果您遵循API,他们将安全地验证用户并向您发送您可以验证的令牌。
一旦您确定他们是谁,您的网站就可以安全地授权该用户。例如,他们可能是现有用户,需要创建帐户,是管理员。您可以根据Google验证的用户(在我的示例中)在您的网站上制作授权。
Twitter,Facebook和其他人也这样做。另请参阅OpenID Connect。