Compartir un token de acceso de un proveedor externo entre aplicaciones

1

Tengo una aplicación web en ejecución que utiliza un proveedor externo de OAuth (Reddit) para iniciar sesión. Quiero integrar esta aplicación con la aplicación móvil de otra persona y quiero hacerlo lo más fácil posible para los desarrolladores y usuarios. No quiero tener que mostrar múltiples ventanas de confirmación de OAuth y almacenar múltiples tokens si no tengo que hacerlo.

Mi pregunta es, ¿cuáles son los problemas de seguridad relacionados con la reutilización de un token de acceso para varias aplicaciones? ¿Podría la aplicación móvil simplemente pasar un token de acceso Reddit actualmente válido a mi aplicación web y usarlo en lugar de buscar mi propio token de acceso y actualización desde Reddit? ¿Eso crearía problemas de seguridad ya que el token se está reutilizando técnicamente aunque sea de la misma "familia de aplicaciones"?

El token se pasaría en un encabezado a la aplicación web / API y a la aplicación web, y la aplicación móvil compartiría el mismo secreto de la aplicación.

Mi instinto dice que esto probablemente no es una gran idea y / o en contra de la mayoría de los Términos de Uso. Pero esta sería una solución mucho más simple que tener que administrar otro token en la aplicación móvil solo para poder hablar con mi aplicación web.

    
pregunta Matti Price 18.01.2017 - 21:42
fuente

0 respuestas

Lea otras preguntas en las etiquetas