Этот вопрос касается попыток понять риски безопасности, связанные с внедрением oauth на мобильной платформе, такой как Android. Предполагается, что у нас есть приложение для Android, в коде которого есть ключ / секрет потребителя.
Предположим, что секрет потребителя был скомпрометирован, и хакер получил его, каковы последствия этого?
Предположения о взломе секрета потребителя
Правильно ли я заявляю, что скомпрометированный секрет потребителя как таковой не влияет на пользователя? s безопасность, или любые данные, хранящиеся у поставщика с включенным OAuth, с которым взаимодействовал пользователь. Сами данные не скомпрометированы и не могут быть получены хакером.
Хакеру потребуется заполучить действующий токен доступа пользователя, а получить его намного труднее.
Что хакер может сделать со скомпрометированным секретом потребителя?
Правильно ли я заявляю, что следующее:
Влияние на конечного пользователя
В предположении, что
Альтернативы
Есть ли альтернативы этому прокси-серверу? Можно ли хранить секрет потребителя на промежуточном веб-сервере и иметь какой-то механизм, с помощью которого приложение Android (опубликованное на рынке и должным образом подписанное) может выполнять безопасный запрос к промежуточному веб-серверу, чтобы получить секрет потребителя и сохранить его внутри приложения? Можно ли реализовать механизм, при котором промежуточный веб-сервер "знает", что это официальное приложение для Android, которое запрашивает секрет потребителя, и что промежуточный веб-сервер будет передавать секрет потребителя только этому конкретному приложению Android?