OAuth与安全获取共享秘密

Question

我正在构建一个可下载的web应用程序，它被打包成一个ZIP存档。下载后，网站管理员将通过安装程序获取。作为安装程序的一步，他被要求从主站点“注册”他的副本。注册成功后，我需要发布软件的特定副本，共享密钥/秘密，以便通过OAuth进行进一步的API访问。

请建议最安全、最正确的方法来做这件事。同样，以下是步骤：

• 下载软件(每个人都可以下载相同的压缩，不能包含秘密)
• 网站管理员打开向导(将浏览器指向本地主机)
• 向导重定向到用户输入凭据的example.com
• 然后，用户与一起被送回本地主机。
  • oauth键
  • 共享秘密

​

• 在未来，软件可以通过OAuth令牌直接访问API。

另一个问题是，我是否可以在初始握手期间获得令牌，或者是否应该在以后执行该步骤。

Answer 1

让web应用程序自己执行事务本身，然后直接收集秘密。不要让用户去外部网站。

​

​