我们有一个移动应用程序,需要通过WSO2 API Manager访问一些API。由于oauth2身份验证,我们需要在移动应用程序中存储用户名&密码,是否安全?例如,用户名&密码可用于登录API Store,对于这种情况是否有其他解决方案?WSO2 API管理器 - 移动应用程序如何连接到API管理器?
2
A
回答
0
您可以使用'用户访问令牌'。这是移动应用推荐的方法。 有关更多信息,请参阅this WSO2AM doc。以下博客文章也有一些详细的解释。
http://charithaka.blogspot.com/2013/07/oauth-20-grant-types-with-wso2-api_16.html http://lalajisureshika.blogspot.com/2012/11/generate-application-tokens-user-tokens.html
0
你可以在密码交付式使用的用户名和密码,一旦被击中令牌端点来获得访问令牌。之后,只需使用刷新令牌来更新访问令牌,这样您就不必在移动沙箱中存储用户名和密码。检查更新访问令牌的documentation。有必要在移动沙箱中安全地保存此访问令牌和刷新令牌。为此,您可以使用安全的沙盒方法,如基于您的移动平台的密钥存储库,钥匙串等,并具有适当的安全性,例如对其进行加密等。即使您愿意使用用户名和密码进行后续请求以请求令牌一次又一次,你可以使用这种方法来存储这些凭证。
相关问题
- 1. WSO2 API管理器API Visiblity
- 2. WSO2 API管理器API WSDL
- 3. WSO2 API管理器的API
- 4. WSO2 API管理器 - 上下文管理
- 5. WSO2 api管理器和SSO
- 6. WSO2 API管理器混搭
- 7. WSO2 API管理器汽车
- 8. WSO2 API管理器配置
- 9. WSO2 API管理器net :: ERR_INSECURE_RESPONSE
- 10. WSO2 API管理器培训
- 11. 后端https服务器如何与WSO2 API管理器连接
- 12. WSO2 API管理器可移植安装
- 13. 迁移WSO2 API管理器数据库
- 14. WSO2 APi管理器响应代码0
- 15. WSO2 API管理器 - 与非XML响应
- 16. WSO2 API管理器 - API的可见性
- 17. WSO2 API管理器支持API联合?
- 18. WSO2 API管理器版本控制API
- 19. WSO2-API管理器和WSO2-IS:OAuth重叠
- 20. WSO2 API管理器代理配置
- 21. 与WSO2 API管理
- 22. WSO2 API管理器集群密钥管理器
- 23. WSO2 API管理器(1.6.0):发布程序API(端点)
- 24. WSO2 API管理器自定义处理程序
- 25. 无法调用WSO2 API管理器1.10管理服务
- 26. 使用WSO2 API管理器管理WSDL soap操作
- 27. wso2 API管理器 - 如何使用模板发布API?
- 28. 如何使用管理API创建WSO2 DAS事件接收器
- 29. WSO2 API MANAGER集群工作管理器
- 30. WSO2 API管理器安全层
感谢您的回复。是的,我可以使用访问令牌来访问API,但我们仍然需要用户名,密码,consumerId和秘密才能获取访问令牌,我是对的吗? – user2676576
用户名和密码不需要重新生成访问令牌,只需使用消费者密钥和密钥。一旦在API Manager中创建了应用程序,消费者和密钥就不会改变,因此您的移动应用程序可以无限期地存储和使用这些值以重新生成您的访问令牌。如果某人获得了这些值,那么他们可以做的最糟糕的事情就是重新生成一个访问令牌,您的应用应该能够处理这个令牌(因为无论如何它可能会重新生成过时的访问令牌)。 – Kjata30