我希望用户使用我Xamarin的MonoTouch应用程序的社交网络帐户登录/后。Xamarin Social存储应用密钥而不是服务器是明智的吗?
Xamarin社会似乎打勾的框,但它是很好的做法/安全的密钥存储在移动设备应用程序,而不是在服务器上(因此在集中执行身份验证和令牌/代码检索)?
或者它应该是一个更加混合的方法,其中秘密应用程序密钥存储在服务器上,并且在从移动设备向社交授权提供商进行身份验证时通过Web服务调用传递给Xamarin Social(或Xamarin Auth)防止从应用程序本身反编译密钥的存储)?
请指教,我很想知道什么是我读过的Instagram的OAuth说明,你不应该把应用程序在移动设备中的秘密OAuth键值最佳途径。
我想而应用的关键就是你的应用程序的标识,应嵌入在你混的秘密关键问题,例如Facebook应用程序的密钥是为了改变应用程序范围的设置使用Web服务器客户端,以便客户端可以拨打正确的Facebook应用程序。
一切,更可以在这里找到: Access Tokens
,我可以从Instagram Authentication docs读它看起来非常相似,在那里你给重定向URL Facebook的OAuth2验证程序和所有用户确认之后,用户会被重定向到(注意,在这种情况下,你不需要提供应用程序的秘密)
但它并不总是这样,每个社交网络都有它自己的身份验证机制,谷歌的Oauth2 API也有“客户秘密”,但它不是这样的秘密,例如在JavaScript应用程序中,你必须e应用程序本身,以内部mbed客户端密钥认证通过的OAuth2到谷歌可以在这个环节被阅读: Using OAuth 2.0 to Access Google APIs
因此,使用客户端机密与否不是关于Xamarin.Social,它的服务器如何尝试连接工作。
Xamarin社会仅仅是连接到设备的本地帐户的包装。所以它没有存储任何细节。它只是调用设备特定的功能。 –