0
我想知道是否有任何管理移动设备中的秘密到期的策略。带客户端凭证的Android/IOS秘密到期管理流程
在授权服务器允许移动客户端使用资源所有者密码流并结合客户端证书来授权他的情况下,客户端秘密具有到期时间。
我见过有很多方法可以安全地在Android应用上存储秘密,但是,如何在不发布新版本应用的情况下管理秘密到期?
A
回答
3
这就是我们在OAuth Refresh Token Standards之后在我们的应用程序中所做的。
步骤1:你的API应该发送一个标准的身份验证令牌响应如所述here
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
步骤2:保存在共享偏好/本地缓存/本地数据库响应,我们使用的共享设定(假定accountToken在类的对象从身份验证令牌的响应)
SharedPreferences.Editor editor = getContext().getSharedPreferences("AUTH_PREFS_NAME", Context.MODE_PRIVATE).edit();
editor.putString("AUTH_ACCESS_TOKEN_KEY", accountToken.getAccess_token());
editor.putString("AUTH_REFRESH_TOKEN_KEY", accountToken.getRefresh_token());
editor.putLong("AUTH_EXPIRES_IN_KEY", accountToken.getExpires_in());
editor.putLong("AUTH_TIME_SAVED_KEY", ((int) (System.currentTimeMillis()/1000)));
editor.commit();
步骤3中创建:每次必须使用保存的访问令牌时,请确保它没有过期
public boolean needsTokenRefresh(String accessToken) {
if (accessToken == null || accessToken.length() == 0) {
// no access token to refresh. Don't refresh.
return false;
}
SharedPreferences pref = mContext.getSharedPreferences("AUTH_PREFS_NAME", Context.MODE_PRIVATE);
String refreshToken = pref.getString("AUTH_REFRESH_TOKEN_KEY", null);
if (refreshToken == null || refreshToken.length() == 0) {
// no refresh token. Can't refresh.
return false;
}
Integer timeSaved = pref.getInt("AUTH_TIME_SAVED_KEY", 0);
if (timeSaved == 0) {
// No recording of having saved the token. Don't refresh.
return false;
}
long expiresIn = pref.getLong("AUTH_EXPIRES_IN_KEY", 0);
int now = (int) (System.currentTimeMillis()/1000);
int timePassed = Math.abs(now - timeSaved);
boolean expired = false;
if (expiresIn <= timePassed) {
expired = true;
}
return expired;
}
如果needsTokenRefresh()返回false然后使用保存的身份验证令牌。如果它返回true然后转到下一步。
第4步:再次验证调用与grant_type设定为refresh_token作为stated in standards
第5步:验证调用应该返回标准AUTH响应与令牌更新和新refresh_token
1
我能想到的唯一方法是当您第一次运行应用程序时,它连接到服务器并发送手机fingerPrint,服务器将只在fingerPrint未在其数据库中列出时发送文件,文件包含当前日期和该日期的数字签名,因此用户不会更改其值。 并且每次运行应用程序时,都会通过应用验证签名方法来检查日期和日期的完整性。
相关问题
- 1. 客户端凭证Oauth流 - Azure B2C
- 2. 500 - Spotify的客户端凭证认证流程
- 3. 没有管理员登录的客户端证书流程
- 4. 更改客户端凭证流程中的OAuth2RestTemplate HTTP方法
- 5. 设置客户端凭证
- 6. WCF客户端测试程序和客户端凭证
- 7. OAuth2密码凭证流程
- 8. 翻译API的客户端ID和秘密秘密
- 9. 客户端ID和客户端访问foursquare API的秘密
- 10. 无客户端秘密的OAuth2工具
- 11. Spring Oauth2客户端凭证流程示例
- 12. 客户端凭证在oAuth2资源所有者密码凭证授权流程中是否可选?
- 13. 谷歌云存储 - 客户端秘密
- 14. Swashbuckle OAuth2用户授权使用客户端凭证流
- 15. Rails的:秘密凭证错误
- 16. 了解OAuth2客户端凭据流
- 17. 使用Azure Active Directory客户端凭证流控制授权令牌的过期
- 18. PHP安全 - 密码和凭证管理?
- 19. 客户端证书流程错误400
- 20. Facebook身份验证,通过秘密管理器设置秘密和身份证
- 21. Passport.js是否支持“客户端凭证流”?
- 22. 为什么使用客户端凭证流?
- 23. OAuth客户端凭证概念
- 24. AAD microsoft graph,客户端凭证
- 25. 加密时无法将密码保存到凭证管理器
- 26. OAuth 2 - '用户名和密码流'与'客户端凭证流'之间的区别是什么
- 27. 客户端密钥到期警报
- 28. 处理多客户端流?
- 29. 厨师管理秘密
- 30. OAuth2本地应用程序 - 客户端秘密
步骤1的描述我想你忘记了在确定令牌是否过期时,记下保存您所依赖的''AUTH_TIME_SAVED_KEY''的调用,所以我冒昧地为您添加它。 :)一般来说,你应该对这个时间戳稍微保守一点,因为延迟(移动通用)可能导致服务器不接受它,尽管你的方法说它没有过期(你只能在本地检查)。这是一个极端的情况,虽然可以处理。 – Gero
我想我错过了,而截断额外的位。感谢您的加入。 – adnanyousafch