0
OAuth 액세스 토큰 클라이언트 측 (iPhone)을 받고 사용자 대신 gdata 요청을 만들기 위해 액세스 토큰을 내 서버로 보내고 싶습니다. . 기본적으로 내 질문은,이 안전한가요? 누군가가 연결을 감지하고 액세스 토큰을 꺼내 악의적으로 사용하지 못했습니까?GData, OAuth 및 iPhone - 액세스 토큰을 처리 할 때 보안 유지
Google은 '익명'을 소비자 키로 사용하고 HMAC-SHA1 서명 모드를 사용하여 '등록되지 않은'애플리케이션을 인증 할 수 있도록 허용하고 있습니다. 그런 다음 획득 한 액세스 토큰을 서버 쪽에서 전달하여 데이터 조작을 수행합니다. 그것은 훌륭하게 작동하지만 솔루션에 대한 보안 문제가 있습니다.
의견을 보내 주셔서 감사합니다.
Google App Engine을 서버로 사용하고 있으므로 보안이 적용됩니다. 웹 뷰를 통해 인증 서버 측을 수행하여 토큰을 직접 전달하지 않아도된다고 가정합니다. 나는 지금 https를 사용하고 있지 않다 ... GAE가 지원하는지 확실하지 않지만, 나는 점검 할 것이다. 인증 서버 측을 사용하면 도메인을 Google에 등록하고 고객 키 + 비밀번호를 사용하게해야한다고 생각합니다. –