agregar otra capa de protección encima de oauth 2

Navega tus respuestas
0

Mi Rest API está protegido usando Oauth2 . Mi principal client es un native app .

está funcionando bien, pero hay ciertas llamadas a la API que quiero asegurar que se realicen desde mi client , lo que significa que si el usuario obtuvo el access token , no podrá usar curl para llamar a mi Rest api .

Por ejemplo, si tengo una API de Rest para Desbloqueo de Logro , ¿cómo puedo asegurarme de que un usuario autenticado no podrá llamar a esta API de resto para desbloquear el logro?

Soluciones en las que pensé:

  1. Firme la solicitud con un encabezado especial, pero creo que se puede romper
pregunta royB 26.02.2015 - 14:46
fuente

1 respuesta

1

Tan pronto como implementas tu cliente en un dispositivo que no puedes controlar por completo, no hay forma de estar absolutamente seguro de que alguien pueda manipular las solicitudes.

Sin embargo, lo que puede hacer es poner algunas medidas en su lugar que requieran trabajo del atacante, por ejemplo, puede cifrar y / o firmar sus datos utilizando claves incrustadas en la aplicación. Para enviar datos al servidor, el atacante tendría que realizar la tarea de cifrado / firma para enviarle datos válidos. Esto significa que tendría que aplicar ingeniería inversa a la aplicación o encontrar una forma de utilizarla para hacer el trabajo por él (lo que no debería ocurrir). Alguien lo suficientemente motivado finalmente tendrá éxito ya que todos los datos están presentes en su dispositivo. La idea es consumir mucho tiempo para que no valga la pena el esfuerzo.

OAuth solo resuelve el problema de autorizar a un usuario específico. Por lo tanto, debe poder asegurarse de que un usuario solo pueda manipular sus propias solicitudes y no las de otros.

    
respondido por el M'vy 26.02.2015 - 15:18
fuente

Lea otras preguntas en las etiquetas

¿Los atacantes pueden sustituir / colocar mis consultas en / del proveedor? formatos de clave pública [cerrado]