为什么我不应该将cookie /会话用于浏览器通常使用的本机移动应用程序,以便对我的服务器进行身份验证以及后续的API调用?
澄清:似乎移动客户端上的事实上的身份验证方法是基于令牌的系统,如OAuth / XAuth。为什么传统浏览器方法不够用?
答案 0 :(得分:2)
这取决于您的应用程序(您的威胁情况更准确)。
一些最常见的威胁是 - 窃听( - >应该加密) - 中间的人( - >必须验证其他方) - ......你的是什么? (你的cookie商店有多安全,......)
一开始,cookie只保存一个令牌,作为您成功进行身份验证的证明。如果cookie有效期足够长或运输不加密,那么有一天很有可能会有人发现......
此外,您必须首先考虑哪些其他安全措施,最重要的SSL。
您的身份验证方法是什么(客户端需要登录哪些凭据)?您是否有可能使用基于PPK基础设施的身份验证或“ad-hoc”通信?
修改
WRT。到OpenAuth:据我所知,协议主要关注的是身份验证委派。您授权代理代表另一个身份执行某项特定任务的方案。这样,您就不会在整个网络上分散您的凭据。如果您有OpenAuth,客户端也可以直接使用该协议。那么为什么还要加入另一个呢?但OpenAuth明确指出,对于直接客户端方案,您再次遇到安全问题,因为现在设备上的令牌可用,并且必须相应地进行保护(因为您必须使用cookie)。