Aplicaciones móviles social Oauth

0

Necesito desarrollar las aplicaciones iOS y Android que deberían tener que comunicarse con un servidor a través de RESTfull API . También necesito registrarme y autorizar al usuario a través de redes sociales populares como Facebook, Twitter, Google.

¿Cuál es el mejor escenario para hacer eso? Por ejemplo: genero access_token en mi aplicación móvil y luego lo envío al servidor como example.com/auth?google?<access_token> . ¿Alguien podría robar mi access_token y luego tener acceso a la información personal del usuario o a la cuenta del usuario?

    
pregunta Near1999 16.01.2016 - 22:04
fuente

1 respuesta

0

El token del que habla no se genera en la aplicación móvil. Se genera en los servidores de autenticación de terceros y se pasa a su aplicación móvil. Su aplicación móvil debe devolverla a los servidores para validar la autorización de sus aplicaciones.

Con respecto a la seguridad del token, asumiendo que está usando SSL, puede pasar el token en un parámetro de consulta como sugiere o como encabezado de un mensaje. El encabezado Authorization es el estándar a usar, pero como eres dueño de la aplicación móvil y de tu servidor, puedes colocarlo en cualquier encabezado.

Mi preferencia es nunca poner cualquier cosa que deba mantenerse segura en un parámetro de consulta. Las URL tienen la mala costumbre de exponerse a través de registros u otros mecanismos. Así que prefiero usar el encabezado.

Cuando te comuniques con servidores de terceros como Google, tendrás que usar el mecanismo que requieran.

    
respondido por el Neil Smithline 16.01.2016 - 23:25
fuente

Lea otras preguntas en las etiquetas