移动应用程序社交Oauth

Question

我需要开发iOS和Android应用程序，这些应用程序必须通过RESTfull API与服务器通信。此外，我需要注册和授权用户通过流行的社交网络，如Facebook，Twitter，谷歌。

做这件事的最佳方案是什么？例如:我在我的移动应用程序中生成access_token，然后像example.com/auth?google?<access_token>一样将它发送到服务器。有人偷了我的access_token，然后才能访问用户的个人信息或用户的帐户吗？

Answer 1

您所说的令牌不是在移动应用程序中生成的。它在第三方认证服务器中生成，并传递给您的移动应用程序。您的移动应用程序必须将其传回服务器以验证您的应用程序的授权。

关于令牌的安全性，假设您正在使用SSL，您可以按照您的建议在查询参数中传递令牌，也可以将其作为消息头传递。Authorization标头是标准的，但是，由于您拥有移动应用程序和服务器，您可以将其放入任何标头中。

我的首选是永远不要在查询参数中放置任何需要保持安全的内容。URL有一个通过日志或其他机制暴露的坏习惯。所以我更喜欢使用标题。

当您与第三方服务器(如Google )通信时，您将不得不使用它们所需的任何机制。